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出 厂 况 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
计 息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 荐 乏 , 远 远 不 能 满足 金融 商业 ,公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 ,而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 术 
计 息 安全 专业 系列 教材 "的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
上 性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深 
入 。 系 列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 衣 , 又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 ， 

OD 体系 完整 结构 合理 .内容 先 进 . 

适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

立体 配套 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 ， 

版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 遗 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 
初 正式 列 人 普通 高 等 教育 十 一 五 国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 


网 络 安全 运营 


芭 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信 息 安 全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 ,教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规 沁 人 研制 ” 
的 教学 科 人 研 项 目 。2007 年 起 ,该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 本 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 , 死 服 困 难 , 历 时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审查 
和 人 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 的 名 义 正式 发 布 
《 商 等 学 校 信 息 安 全 专业 指导 性 专业 规范 兴 由 清华 大 学 出 版 社 正 式 出 版 ) 。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 局 校 增 养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安 全 和 信息 化 
领导 小 组 办 公 室 (下 文 简 称 中 央 网 信 办 ) .国家 发 展 和 改 早 委员 会 .教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 ( 关 于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 (中 网 办 发 文 [2016J4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空 间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 和 人 才 
培养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安 全 学 科 专 业 建 设 和 人 才 培 养 , 促 
进 网 络 空 间 安 全 相关 核心 诛 程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
守 委 员 会 和 中 央 网 信 办 资助 的 网 络 空 间 安 全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空间 
安全 重点 规划 丛书 ?的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 教授 担任 编 委 会 主任 。 本 规划 丛书 基于 “高 等 院 校 信息 安全 专业 系列 教材 "坚实 的 
工作 基础 和 成 末 .阵容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获 得 教 
育 部 和 中 央 网 信和 办 等 机 构 评 选 的 “普通 遍 等 教育 本 科 国 家 级 规划 教材 ”次 通 高 等 教育 精 
喇 教 材 “ 中 国 大 学 出 版 社 图 书 奖 ”和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 ， 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 人 《高 等 学 校 信息 安全 专业 指导 性 专业 规范 六 及 
后 续 厂 本 ) 和 相关 教材 建设 诛 题 组 的 全 究 成 有 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 帘 性 ,及 时 反映 教学 改 半 和 诬 程 建设 的 新 成 末 , 并 随 看 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学科 专 业 的 本 科 和 人 研究 生 教材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhanem(@tup.tsinghua.edu.cn, 联 系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 
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没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安全 。 

为 了 更 多 .更 快 .更 好 地 培养 网 络 安 全 人 才 , 许 多 学 校 都 加 大 投入 ,聘请 
优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 、 系 统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教 材 是 网 络 空 间 安 全 专业 人 才 的 关键 。 但 是 ,这 是 一 
项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 广 , 至 少 
包括 密码 学 、 数 学 、 计 算 机 、 通 信和 工程 等 多 门 学 科 , 因 此 ,其 知 计 体系 庞杂 、 杭 
理 困 难 ; 其 二 ,网 络 空 间 安 全 的 实践 性 很 强 , 技 术 发 展 更 新 非常 快 , 对 环境 和 
师资 要 求 也 很 高 。 

“网 络 安全 运营 ”是 网 络 空间 安全 和 信息 安全 专业 的 基础 课程 ,通过 讲解 


A 本 书 涉 及 
的 知识 面 较 宽 , 共 分 为 7 章 。 第 1 划 介 绍 企业 信息 系统 的 构建 ;第 2 草 介 绍 


企业 信息 系统 安全 运 吾 ;第 3 章 介 绍 企 业 网 种 见 安 全 设备 ;第 4 草 介 绍 态 努 
感知 ;第 5 草 介 绍 追 踪 渊 源 与 取证 ;第 6 曹 介 绍 应 急 啊 应 ;第 7 章 介 绍 灾 难 
备份 。 

本 书 既 适合 作为 高 校 网 络 空间 安全 ,信息 安 全 等 专业 的 教材 ,也 适合 网 
络 安全 人 研 究 人 员 作 为 网 络 空间 安全 领域 的 人 门 基础 谈 物 。 随 看 新 技术 的 不 
断 发 展 ,作者 今后 会 不 断 更 新 本 书 内 容 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 芯 锋 和 不 妥 之 处 ,欢迎 谈 独 批评 指正 。 
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逢 1 前 、 
企业 信息 系统 的 构建 


随 看 信息 化 技术 的 不 断 发 展 , 越 来 越 多 的 企业 利用 信息 系统 提高 企业 的 生产 效率 。 
企业 信息 系统 不 仅 能 为 企业 运 介 管理 提供 基本 的 操作 平台 ,而 且 能 提供 目 动 化 办 公 等 多 
种 应 用 服务 ,信息 系统 的 高 效应 用 能 大 幅度 提 局 企业 的 生产 效率 。 本 曹 首先 介绍 信息 系 
统 的 基本 概念 ,然后 分 析 典 型 信息 系统 的 设计 需求 ,再 介绍 典型 信息 系统 所 包含 的 各 种 组 
件 和 服务 天 等 ,从 而 构建 典型 信息 系统 的 网 络 拓扑 结构 ,最 后 介绍 典型 信息 系统 经 凋 遇 到 
的 各 种 安全 威胁 和 现代 网 络 安全 观 。 


1.1 ”企业 信息 系统 概述 


信息 系统 (information system) 是 由 计算 机 人 硬件 ,计算 机 软件 、 网 络 和 通信 设备 、 信 息 
帝 源 和 信息 用 户 组 成 的 以 处 理 信息 为 目的 的 人 机 系统 。 企 业 信 息 系统 即 服 务 主体 为 公司 
企业 的 信息 系统 。 企 业 通 过 构造 信息 系统 来 采集 .处 理 和 分 发 数据 ,为 组 织 运 介 与 决策 
服务 。 


1.1.1 信息 系统 的 组 成 


言 轧 系 统 也 指 管理 信息 系统 ,是 以 管理 科学 .计算 机 科学 .工程 学 .数学 .控制 论 .系统 
论 等 为 基础 理论 ,以 人 为 主导 ,利用 计算 机 人 硬件 .计算 机 软件 .网络 通信 设备 及 其 他 办 公设 
备 ,进行 管理 信息 的 收集 .传输 、. 加工、 存储 .更 新 和 维护 ,以 提高 组 织 效 率 、 改 善 组 织 效 益 
为 目标 , 文 持 组 织 高 层 决 策 .中 层 欣 制 、. 基层 运 作 的 集成 化 人 机 系统 。 从 上 述 定 义 可 知 , 构 
成 信息 系统 的 核心 要 素 是 技术 .人 和 组 织 。 

1. 技术 

拉 术 要 系 是 保障 信息 系统 得 以 运行 的 基本 文 撑 ,是 信息 系统 的 物理 构成 。 人 信息 系 统 
的 技术 要 素 包 括 数据 .硬件 和 软件 几 个 方面 。 

数据 是 指 记 录 下 来 的 各 种 原始 资料 ,如 文字 数字 .声音 和 图 像 等 。 数 据 是 信息 系统 
生成 信息 的 原材料 , 它 是 系统 处 理 、 管 理 的 对 旬 ,贯穿 于 系统 的 各 个 环节 ,主要 涉及 数据 库 
技术 。 

便 件 是 计算 机 物理 设备 的 总 称 ,也 叫 作 人 硬件 设备 ,由 信息 系统 物理 层 的 各 项 组 成 , 包 
括 服务 器 ` 工 作 站 、 通 信 设 备 数据 采集 设备 和 数据 存储 介质 等 . 

软件 是 指控 制 便 件 运行 并 产生 所 需 信 息 与 结果 的 程序 。 信 息 系 统 依 徘 软 件 帮 助 终 疹 
用 户 使 用 计算 机 硬件 ,将 数据 加 工 转换 成 各 类 信息 产品 。 软 件 用 于 完成 数据 的 输入 、 处 


理 、 输 出、 存储 和 控制 信息 系统 的 活动 。 软 件 一 般 分 为 基础 软件 和 信息 系统 软件 。 基 础 软 
件 是 指 文 持 信 息 系 统 运行 的 系统 软件 ,如 操作 系统 .数据库 系统 等 ;信息 系统 软件 是 指 处 
理 特定 应 用 的 程序 ,如 办 公 日 动 化 软件 、 图 书馆 管理 系统 等 。 


2. 人 
言 息 系 统 是 以 人 为 主体 的 人 机 系统 ,这 里 的 人 是 指 与 信息 系统 相关 的 各 种 角色 ,他 们 
开发 ,维护 ,管理 ,学 习 和 使 用 信息 系统 ,而 信息 系统 器 人 反馈 有 价值 的 信息 。 信 息 系 统 中 
人 的 角色 划分 如 表 1-1 所 示 。 
表 1-1 信息 系统 中 人 员 的 角色 划分 


CEO 最 高 等 级 的 信息 系统 经 理 , 负 责 整 个 组 织 的 信息 系统 战略 规划 和 


建设 | 系统 程序 员 负责 通过 某 种 程序 语言 实现 信息 系统 中 的 相关 功能 

负责 设计 和 开发 测试 过 程 及 测试 用 例 , 并 执行 测试 ,分 析 系 统 的 
Web 站 点 管理 工程 师 负责 管理 公司 的 Web 服务 器 

负责 监督 所 有 数据 或 计算 机 中 心 的 日 常 运行 ,以 及 组 织 实施 信息 
系统 的 安全 规划 安全 措施 与 安全 审查 等 

数据 分 析 工 程 师 负责 业务 数据 .客户 数据 .社交 网 络 数据 的 挖掘 分 析 

根据 信息 系统 汇总 生成 的 组 织 运 营 绩 效 指 标 进 行 战术 层 、 战 略 层 
的 相关 业务 决策 


业务 处 理 人 员 利用 信息 系统 完成 相关 业务 处 理工 作 


3. 组 织 

组 织 是 指 信 息 系 统 隶 属 的 服务 主体 。 系 统 帮 助 组 织 更 加 有 效率 地 运作 ,获得 更 多 的 
客户 或 改善 客 己 的 服务 ,并 获得 更 多 的 收益 ,最 终 筷 得 区 争 优 瓜 。 组 织 有 各 种 类 型 ,例如 
政府 .医疗 机 构 ,学校 以 及 企业 等 。 

组 织 是 信息 系统 的 领域 环境 ,由 于 组 织 的 社会 属性 ,使 得 信息 系统 不 再 只 属于 技术 
系统 ,而 是 融合 到 更 加 复杂 的 社会 技术 系统 中 。 信 息 系 统 与 组 织 之 间 的 关系 如 图 1-] 
Was 


1.1.2 企业 信息 系统 的 功能 


1. 信息 处 理 

言 轧 处 理 (information processing) 是 信息 系统 必 备 的 基本 功能 , 它 一 般 包 括 信息 的 
输入 存储 处理、 输出 和 控制 。 

(1) 输入 功能 。 信 息 系 统 的 输入 功能 取决 于 系统 所 要 达到 的 目的 及 系统 的 能 力 和 信 
息 环境 的 许可 。 它 一 般 包 括 信息 收集 .信息 整理 .信息 输入 和 正确 性 检查 4 个 环节 。 
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图 1-1 信息 系统 与 组 织 之 间 的 关系 


(2) 存储 功能 信息 。 和 存储 功能 指 的 是 系统 存储 各 种 信息 资料 和 数据 的 能 力 。 企 业 信 
县 系统 需要 保存 大 量 的 历史 信息 ,还 要 保存 大 量 新 接收 的 外 部 信息 ,因此 宕 要 具备 强大 的 
信息 存储 能 力 ,一 般 依赖 于 数据 库 技术 。 

(3) 处 理 功能 。 信 息 处 理 即 信 息 加 工 , 是 信息 系统 最 基本 的 功能 。 企 业 信 息 系 统 的 
作用 就 是 把 基础 信息 处 理 成 对 企业 生产 经 萌 和 管理 有 用 的 信息 。 信 息 加 工 的 方法 有 计 
算 统计、 查询 汇总 、 求 模 、 排 厅 和 优化 等 ,一 般 是 基于 数据 仓库 技术 的 联机 分 析 处 理 
(On-Line Analytical Processing,OLAP) 和 数据 挖掘 (Data Mining,DMI) 技 术 。 

(4) 输出 功能 。 信 息 输 出 是 企业 信息 系统 的 必要 功能 。 企 业 信息 系统 的 各 种 功能 都 
是 为 了 保证 最 终 输出 的 有 用 信息 能 被 组 织 生产 经 营 和 管理 所 用 ， 

(5) 控制 功能 。 该 功能 是 对 构成 系统 的 各 种 信息 处 理 设备 进行 控制 和 管理 ,对 整个 
信息 输入 、 处理、 传输 .输出 等 环节 通过 各 种 程序 进行 控制 。 


2. 业务 处 理 

业务 处 理 (transaction processing) 过 程 也 是 信息 处 理 的 一 部 分 。 企 业 信 息 系 统 通 过 
业务 处 理 来 文 持 企 业 管 理 和 办 公 的 目标 。 根 据 处 理 的 类 型 ,可 以 把 企业 信息 系统 的 业务 
处 理 分 为 联机 事务 处 理 和 脱 机 事务 处 理 两 种 类 型 。 联 机 事务 处 理 (On-Line Transaction 
Processing，;OLTP) 是 指 利 用 计算 机 网 络 将 分 布 在 不 同 地 理 位 置 的 业务 处 理 计 算 机 设备 
或 网 络 与 业务 管理 中 心 网 络 连 接 , 从 而 实现 网 络 所 有 闻 点 统一 、 实 时 的 业务 处 理 。 脱 机 事 
务 处 理 (Off-Line Transaction Processing,OFTP) 是 指 信息 系统 并 不 直接 参与 实际 的 业 
务 过 程 ,而 是 在 业务 处 理 结束 后 定期 将 业务 处 理 过 程 中 的 有 关 信 息 输 入 信息 系统 ,并 对 输 
入 的 信息 进行 处 理 , 输 出 组 织 管理 决策 所 需要 的 有 用 信息 。 

3. 组 织 管 理 

企业 信息 系统 应 该 文 持 处 于 企业 中 层 的 组 织 管 理 。 从 管理 职能 看 ,企业 信息 系统 
应 支持 企业 的 生产 .财务 销售、 科研 \ 人 事后 勤 等 全 面 的 中 层 管理 ;从 管理 能 力 看 , 企 
业 信 息 系 统 应 各 管理 职能 信息 的 收集 提取 、 统 计 分 析 ,. 控制 反 饿 和 企业 中 层 的 结构 化 


4. 辅助 决策 

决 筑 存在 于 企业 管理 的 碾 略 层 、 战 本 层 和 事务 层 的 各 层 活 动 之 中 。 企 业 高 层 管理 者 
的 主要 工作 就 是 进行 决策 ,确定 企业 的 长 远 发 展 战略 ,制订 组 织 的 产品 开发 计划 ,确定 企 
业 的 销售 布局 ,制订 企业 的 设备 改造 和 新 技术 新 工艺 计划 ,制订 企业 的 人 才 需 求 和 培养 计 
划 等 。 企 业 信息 系统 应 该 辅助 支持 企业 高 层 的 决策 活动 ,提供 企业 总 体 发 展 规划 的 数据 
支撑 ， 


1.1.3 企业 信息 系统 的 特点 


随 春 大 数据 和 云 计算 时 代 的 到 来 ,企业 信息 系统 日 益 超 回 大 型 化 和 复杂 化 。 企 业 信 
息 系 统 由 分 布 式 部 署 的 众多 网 络 设备 .计算 机 、 数 据 库 和 应 用 软件 构成 ,有 较 高 的 质 源 共 
理 和 协同 能 力 , 在 能 源 .电力 .通信 交通、 金融 .教育 文化 等 领域 的 应 用 日 益 广 泛 。 企 业 信 
县 系统 主要 具有 以 下 特点 。 

(1) 规模 庞大 。 企 业 信 息 系 统 规模 庞大 ,有 一 些 大 型 企业 信息 系统 管理 的 设备 甚至 
超过 几 十 万 人 台 。 当 企业 信息 系统 所 管理 的 设备 数量 很 大 时 ,将 存在 更 多 .更 复杂 的 安全 威 
胁 , 也 需要 更 健全 的 安全 运营 体系 。 

(2) 体系 复杂 。 企 业 信 息 系 统 网 络 一 般 分 为 多 个 安全 域 ,一 般 包 括 虚 拟 专用 网 .互联 
网 和 企业 专用 网 (或 涉 密 网 )。 示 些 行业 (例如 金融 .通信 和 运 彰 商 以 及 涉 密 单位 ) 处 理 业 务 
时 必须 使 用 目 己 的 专用 业务 网 络 , 这 类 网 络 不 允许 接 和 人 开放 的 .不 安全 的 互联 网 。 

(3) 类 型 崇 多 。 企 业 信 息 系 统 中 的 设备 类 型 党 多 。 设 备 分 为 计算 设备 .存储 设备 和 
安全 设备 等 。 其 中 ,计算 设备 包括 服务 器 .PC 笔记 本 电脑 .移动 智能 终端 (PAD 和 手机 
等 ) ;存储 设备 包括 NASCNetwork Attached Storage ,网 络 附属 存储 )\SAN(CStorage Area 
Networking ,存储 区 域 网 络 ) 和 各 种 公有 云 、. 私 有 云 、 数据 库 服务 器 等 ;安全 设备 分 为 边界 
防护 .主机 安全 .通信 安全 防毒、 审计 等 安全 设备 ,其 中 边界 防护 包括 防火 场 .人 侵 检 测 系 
统 、 人 和 人 侵 防御 系统 .Web 应 用 防火 墙 等 。 

(4) 地 域 广泛 。 企 业 信息 系统 通常 不 会 限定 于 固定 的 小 范围 内 ,而 是 广泛 地 分 布 在 
各 个 地 区 ,甚至 分 布 在 世界 各 地 。 mind 
布 是 企业 信息 系统 的 构建 和 安全 运营 体系 建设 面临 的 重要 难题 

(5) 动态 变化 。 garetts pop 处 在 一 个 持续 变化 
的 动态 过 程 中 ,通过 与 所 在 环境 中 的 其 他 系统 的 相互 作用 ,会 不 断 地 动态 发 展 ,表现 出 1 
断 变 化 的 特性 。 


1 2 系统 需求 分 析 与 方案 设计 


一 个 系统 构建 的 全 过 程 必然 是 从 提出 问题 .确定 目标 开始 ,通过 分 析 与 设计 ,再 从 实 
施 到 测试 ,最 后 以 新 系统 蔡 代 旧 系 统 。 信 息 系 统 的 建设 是 一 个 逐步 完善 的 过 程 。 系 统 总 
是 在 周期 性 运动 中 逐步 发 展 的 ,也 就 是 说 ,信息 系统 的 构建 过 程 是 有 生命 周期 特征 的 活 
动 , 如 图 1-2 所 示 。 
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新 信息 系统 生命 周期 


系统 开发 各 个 阶段 


。 系统 构建 需求 分 析 | 系统 设计 测试 评估 “| 二， 
Laid 阶段 阶段 


原 系统 (现行 系统 ) 运行 


原 系统 生命 周期 


图 1-2 ”信息 系统 生命 周期 


本 节 主 要 针对 中 小 型 企业 信息 系统 ,详细 介绍 企业 信息 系统 生命 周期 中 的 需求 分 析 
阶段 和 系统 设计 阶段 。 


1.2.1 企业 信息 系统 需求 分 析 


企业 信息 系统 的 总 体 需 求 是 : 构建 一 个 统一 可靠 和 安全 的 自动 化 办 公 便 件 平台 系 
统 ,以 满足 企业 信息 化 的 需求 。 企 业 信 息 系 统 必须 满足 如 下 几 点 : 

(1) 满足 现代 企业 管理 的 统一 ,设计 网 络 系 统 时 增加 对 统一 管理 的 要 求 。 

(2) 满足 现代 企业 自动 化 办 公 对 网 络 带宽 的 苛刻 要 求 ,提供 高 性 能 的 网 络 处 理 能 力 。 

(3) 满足 现代 企业 部 门 多 ,资源 分 配 有 限 的 现状 ,合理 规划 网 络 层 次 ,实现 最 优 的 资 
源 共 享 。 

(4) 满足 现代 企业 的 发 展 及 科技 进步 的 需要 ,提供 拓展 能 力 强 、 升 级 灵活 的 网 络 
(5) 满足 现代 企业 对 信息 资源 的 共享 与 安全 要 求 ,提供 完善 的 网 络 安全 解决 方案 。 
(6) 满足 现代 企业 对 办 公 效 率 及 成 本 控制 的 要 求 , 增 加 一 套 高 效 的 网 络 应 用 解决 
方案 。 

在 典型 的 企业 信息 系统 中 ,一 般 包 含 公司 的 主页 Web 服务 器 、 用 于 发 送 和 接收 邮件 
的 邮件 服务 硕 . 用 于 公文 流转 的 办 公有 自动 化 系统 .用 于 文件 上 传 和 下 载 的 文件 服务 需 
(FTP 服务 器 等 ) 用 于 存储 代码 的 SVN 服务 右 等 。 企 业内 部 资源 能 方便 地 建立 ,传送 与 
查询 ,实现 各 部 门 间 的 快速 沟通 ,协助 ,人 简化 公司 内 部 资源 管理 作业 流程 ,实现 自动 化 无 纸 
办 公 。 除 此 之 外 ,企业 信息 系统 的 构建 还 需要 着 眼 于 未 来 技术 的 发 展 ,使 现 有 网 络 具 有 更 
好 的 扩展 性 ;保证 网 络 稳定 运行 提供 方便 的 监测 和 管理 功能 ,最 大 程度 地 提高 网 管 人 员 解 
决 故 障 的 效率 ;在 有 限 的 费用 下 完成 既定 的 任务 ,并 考虑 合理 应 用 服务 器 的 带宽 ,保证 所 
有 资源 能 获得 尽量 大 的 效益 。 


网 络 安全 运营 


1.2.2 企业 信息 系统 设计 方案 


1. 服务 尼 配 置 

为 了 完成 上 述 信息 系统 的 搭建 ,企业 信息 系统 需要 配置 以 下 服务 天 : 

(1) Web 服务 硕 , 即 网 站 服务 项。Web 服务 一 是 目前 互联 网 上 最 帝 见 的 服务 天 , 企 
ie Web 服务 需 回 外 提供 Web 服务 。Web 服务 冀 用 于 搭建 企业 的 Web 主页 ,发 布 企 

品 信 息 , 实 现 企 业 与 用 户 之 间 的 交互 。 目 前 ,较为 主流 的 Web 服务 器 是 Apache、 
le 以 及 IIS 等 。 

(2) Mail 服务 项 。 用 于 建立 企业 专属 的 邮件 系统 ,负责 电子 邮件 收发 管理 。 企 业 员 
工 可 以 申请 企业 的 邮箱 ,用 于 发 送 业 务 相 关 的 电子 邮件 。 一 般 地 ,邮件 系统 使 用 简单 邮件 
传送 协议 (Simple Mail Transfer Protocol,SMTP) 或 扩展 简单 邮件 传送 协议 (Extended 
Simple Mail Transfer Protocol, ESMTP) 来 发 送 电 子 邮件 ,使 用 电子 邮局 协议 3(Post 
Office Protocol Version 3, POP3 ) 或 互联 网 消息 访问 协议 (Internet Mail Access 
Protocol,IMAP) 来 接收 电子 邮件 。 

(3) FTP 服务 器 。 用 于 提供 安全 的 内 部 网 络 资源 共享 与 文件 传输 。 用 户 通过 支持 
FTP 协议 的 客户 机 程序 向 FTP 服务 天 程序 发 出 命令 ,可 以 从 FTP 服务 右 中 下 载 文件 ,也 
可 问 FTP 服务 大 上 传 文件 。 

(4) SVN 服务 器 。 随 着 代码 量 的 不 断 增加 ,软件 的 规模 越 来 越 大 ,软件 的 研发 需要 
多 人 协作 ,SVN 服务 需 可 以 保证 多 人 研发 时 的 代码 同步 。 因 此 研发 部 门 一 般 需 要 搭建 一 
个 SVN 服务 货 作 为 集中 式 代 码 管理 服务 耸 。 

(5) OA 服务 器 , 即 办 公 日 动 化 系统 。 为 了 提高 企业 的 管理 效率 ,企业 一 般 需 要 搭建 
一 个 自动 化 办 公平 台 用 于 日 常 管理 。 目 前 OA 系统 一 般 采 用 集中 式 部 署 、 浏 览 器 /服务 器 
(Browser/ Server, B/S) 模 式 结 构 , 即 OA 程序 和 数据 集中 存放 在 OA 服务 项 上 ,OA 系统 
用 户 的 客户 端 无 须 安 洲 专用 软件 ,使 用 浏览 右 或 移动 设备 通过 网 络 即 可 访问 OA 服务 硕 ， 
这 种 模式 便于 OA 系统 的 维护 、 管 理 和 升级 ，。 

(6) 数据 服务 絮 , 即 数据 库 服 务 右 ,用 于 为 用 户 提 供 数 据 服务 。 数 据 库 服务 右 需 具备 
安全 稳定 、 容 量 大 、 并 行 运行 、 可 恢复 等 特点 ,需要 数据 库 省 理 员 统一 负责 授权 访问 ,并 定 
期 进行 维护 。 数 据 服务 器 中 存储 各 种 数据 ,同时 为 了 保证 数据 的 存储 ,需要 一 个 备份 的 数 
据 库 服务 需 用 于 存储 公司 的 重要 信息 和 数据 。 


2. 网 络 结构 设计 

网 络 采 用 层次 化 结构 模型 ,核心 层 由 高 山路 由 天 和 核心 交换 机 组 成 ,汇聚 层 由 用 于 实 
现 策 略 的 路 由 大 和 交换 机 组 成 , 接 人 层 由 用 于 连接 用 户 的 低 妆 交换 机 和 无 线 接 人 点 组 成 。 
使 用 3 层 网 络 结构 的 原因 有 两 方面 : 一 是 这 能 提高 网 络 对 突 发 事故 的 自动 容错 能 力 , 降 
低 网 络 故障 排 错 的 难度 ,缩短 排 错时 间 ; 二 是 采用 此 网 络 结构 有 利于 企业 将 来 更 灵活 地 对 
企业 网 进行 升级 .扩展 。 

3. VLAN 设计 

为 了 增强 网 络 的 安全 性 和 集中 化 管理 控制 ,可 利用 VLAN 技术 将 由 交换 机 连接 成 的 
物理 网 络 划 分 成 多 个 逻辑 子 网 。 在 交换 机 上 划分 VLAN 的 方法 有 很 多 ,一 般 为 了 满足 具 
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体 使 用 过 程 中 的 需求 ,减轻 用 户 在 VLAN 使 用 和 维护 中 的 工作 量 , 可 基于 IP 网 段 与 部 门 
划分 VLAN。 表 1-2 给 出 了 一 种 简单 的 划分 结果 。 


表 1-2 VLAN 划分 示例 


VLAN 编号 IP(192.168. x .0) 
VLAN1 机 房 ( 各 类 服务 般 专 用) 192.168.1.0/24 
VLAN? 192.168.2.0/24 
VLAN3 192.168.3.0/24 
VLAN4 192.168.4.0/24 
VLAN5 192.168.5.0/24 
VLAN6 192.168.6.0/24 
VLAN?7 192.168.7.0/24 
VLAN8 192.168.8.0/24 


13 企业 信息 系统 网 络 拓扑 结构 


根据 企业 信息 系统 的 需求 分 析 和 方案 设计 建立 的 某 个 企业 信息 系统 的 网 络 拓扑 结构 
如 图 1-3 所 示 。 该 企业 信息 系统 配置 了 Web 服务 顺 、Mail 服务 器 .数据 服务 种 (两 台 )、 
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图 1-3 企业 信息 系统 网 络 拓扑 结构 


FTP 服务 剃 、SVN 服务 硕 和 OA 服务 磊 。 其 中 , Web 服务 硕 、Mail 服务 冀 和 一 台数 据 服 
务 器 可 被 外 网 用 户 访问 ,放置 于 机 房 A;FTP 服务 器 ,SVN 服务 器 .OA 服务 器 以 及 用 作 
异地 备份 的 另 一 台数 据 服 务 咒 不 允许 外 网 用 户 访 问 ,放置 于 机 房 B。 企 业内 部 不 同 部门 
的 网 络 接 和 人 需求 也 不 同 , 例 如 ,财务 部 因为 信息 数据 的 敏感 性 ,因此 不 能 搭建 无 线 局 域 网 
的 接 入 点 ;而 SVN 服务 需 仅 允许 技术 部 访问 ,其 他 部 门禁 止 访问 SVN 服务 需 。 


如 何 最 大 限度 地 你 障 企 业 信 息 系 统 安全 稳定 和 可 徘 地 运行 是 信息 系统 运 则 的 核心 
工作 ,上 述 信息 系统 的 网 络 拓扑 结构 看 似 完 整 ,但 实际 缺乏 一 个 重要 的 环 世 一 一 安全 。 上 
述 网 络 拓扑 结构 实际 上 体现 了 企业 管理 人 员 对 信息 系统 安全 运 则 组 织 与 管理 工作 的 认识 


严重 不 足 , 缺 乏 科 学 .规范 的 网 络 安全 观 。 


1 4 网 络 安全 观 


1.4.1 网 络 安 全 形势 


随 看 网 络 空间 战略 地 位 的 日 益 提升 ,世界 主要 国家 纷纷 增强 网 络 空间 攻击 能 力 , 国 家 
级 网 络 冲 突 日 益 增 多 ,网络 安全 形势 日 益 闫 峻 。 从 2010 年 伊 明 核 设 施 遭 受 震 网 病毒 攻 
击 , 到 2015 年 乌克兰 基础 电力 设施 遭受 病毒 攻击 ,再 到 2017 年 勒索 病毒 在 全 球 的 壁 虐 ， 
显然 安全 已 成 为 大 数据 时 代 的 一 个 严峻 话题 。 

网 络 安全 形势 可 以 概括 为 以 下 几 点 。 

(1) 高 级 持续 性 威胁 稼 态 化 ,我国 面临 的 攻击 威胁 尤为 严重 。 

截至 2018 年 年 底 , 国 内 企业 发 布 高 级 持续 性 威胁 (Advanced Persistent 工 hreat， 
APT) 研 究 报 告 共 提 及 53 个 APT 组 织 , 其 中 针对 我 国境 内 目标 发 动 攻击 的 APT 组 织 有 
38 个 。 从 攻击 实现 方式 来 看 ,大 多 数 APT 攻击 采用 工程 化 实现 , 即 依托 商业 攻击 平台 和 
互联 网 黑色 产业 链 数 据 等 成 熟 资源 实现 APT 攻击 。 这 种 方式 不 仅 降 低 了 发 起 APT 攻 
击 的 技术 和 资源 门槛 ,而 且 加 大 了 受害 方 溯源 分 析 的 难度 。 近 年 来 有 多 起 针对 我 国 重 要 
辣 奶 系统 实施 的 APT 攻击 事件 被 曝光 ,包括 “日 象 行动 ?和 “这 灵 花 攻 击 行 动 * 等 ,主要 以 
我 国教 育 能源、 车 事 和 科 全 领 域 为 主要 攻击 目标 。2016 年 8 月 ,攻击 者 组 织 “ 影 于 经 纪 
人 ”(Shadow Brokers) 公 布 了 方程 式 组 织 (Equation Group) 经 和 常 使 用 的 工具 包 , 包 含 各 种 
防火 墙 的 漏洞 利用 代码 .攻击 者 工具 和 脚本 ,涉及 多 家 厂商 的 产品 。 

(2) 大 量 联网 镶 能 设备 遭受 恶意 程序 攻击 ,形成 僵尸 网 络 , 被 用 于 发 起 大 流量 DDoS 
攻击 。 

近年 来 , 随 看 乔 能 可 穿戴 设备 、 乔 能 家 届 、 入 能 路 由 带 等 终 问 设备 和 网 络 设备 的 迅速 
发 展 和 普及 应 用 ,针对 物 联网 智能 设备 的 网 络 攻 击 事 件 比 例 呈 上 升 趋势 。 攻 击 者 利用 物 
联网 镶 能 设备 漏洞 可 获取 物 联 网 镶 能 设备 控制 权限 ,进而 控制 物 联 网 千 能 终 疹 ,利用 这 些 
被 控 终 端 形 成 大 规模 僵尸 网 络 ,或 将 这 些 被 控 终 端 贩 卖 出 去 ,用 于 用 户 信 息 数 据 咯 取 、 网 
络 流量 劫持 等 其 他 攻击 ,形成 了 地 下 产业 交易 市 场 。2016 年 ,一 蒜 典 型 的 恶意 代码 一 一 
Mirai 受到 广泛 关注 , 它 可 以 利用 物 联 网 智能 设备 漏洞 进行 人 侵 渗 透 , 以 实现 对 设备 的 控 
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制 。 攻 击 者 利用 Mirai 病毒 大 肆 控 制 被 控 设 备 , 当 被 控 设 备 数量 积累 到 一 定 程度 时 ,将 形 
成 一 个 庞大 的 僵尸 网 络 , 称 为 Mirai 僵尸 网 络 。 因 为 物 联 网 智能 设备 普遍 实时 在 线 , 物 联 
网 智能 终端 设备 (例如 智能 摄像 头等 ) 感 染 亚 意 程序 后 也 不 易 被 用 户 察 觉 ,这 样 就 形成 了 
稳定 的 攻击 源 。 攻 击 者 利用 Mirai 病毒 控制 了 大 量 的 摄像 头 设 备 , 从 而 导致 美国 东海 岸 
知名 的 域名 服务 商 无 法 提供 服务 ,致使 很 多 知名 网 站 无 法 访问 。 

(3) 网 站 数据 和 个 人 信息 泄露 屡见不鲜 ,衍生 灾害 严重 。 

由 于 互联 网 传统 边界 的 消失 ,各 种 数据 遍布 在 终端 和 云端 ,加 上 互联 网 黑色 产业 链 的 
利益 驱动 ,各 种 隐私 数据 也 遭受 各 种 安全 威胁 。2016 年 ,国内 外 网 站 数据 和 个 人 信息 泄 
露 事件 频 发 ,对 政治 、 经 济 . 社 会 的 影响 逐步 加 深 , 甚 至 个 人 生命 安全 也 受到 威胁 。 雅 虎 公 
司 两 次 账户 信息 泄露 涉及 约 15 亿 个 个 人 账户 ,致使 美国 电信 运营 商 威 瑞 森 公 司 的 48 亿 
美元 收购 雅虎 公司 的 计划 搁置 其 至 可 能 取消 。 我 国 免 疫 规划 系统 网 络 被 恶意 入 侵 ,2 万 
名 儿童 的 信息 被 镭 取 并 在 网 上 被 公开 售卖 ;信息 泄露 导致 精准 诈骗 案件 频 发 ,高 考 考 生 信 
息 汇 露 间接 夺 去 即将 步 人 大 学 的 女 学 生 徐 玉 玉 的 生命 ;2016 年 ,公安 机 关 共 侦破 侵犯 个 
人 信息 的 案件 1800 多 起 ,查获 各 类 公民 个 人 信息 300 亿 余 条 。 此 外 , 据 新 闻 媒 体 报 道 , 俄 
罗斯 .墨西哥 土耳其、 菲律宾 、 叙 利 亚 、 肯 尼 亚 等 多 个 国家 政府 的 网 站 数据 发 生 泄露 。 

(4) 敲诈 勒索 软件 威胁 本 地 数据 和 智能 设备 安全 。 

2016 年 ,在 传统 PC 端 捕 获 各 种 殴 诈 勒索 类 恶意 程序 样本 约 1.9 万 个 。 通 过 对 敲诈 
勒索 软件 攻击 对 象 的 分 析 发 现 , 敲 诈 勒 索 软 件 的 攻击 目标 已 逐渐 由 个 人 终端 设备 延伸 至 
企业 用 户 。2017 年 发 生 的 WannaCry 勒索 病毒 事件 是 最 具 代 表 性 的 年 度 安全 事件 ,影响 
了 全 球 150 多 个 国家 。 截 至 2017 年 11 月 ,我 国 超过 3 万 个 企业 的 200 多 万 台 计 算 机 遭 
到 WannaCry 的 攻击 。 勒 索 病 毒 不 但 破坏 了 大 量 高 价值 数据 ,而 且 导 致 很 多 公共 服务 、 重 
要 业务 基础 设施 无 法 正常 运行 ,例如 ,有 的 加 油 站 无 法 正常 加 油 , 有 些 地 方 出 入 境 签 证 、 
机 动车 牌号 登记 不 能 正常 进行 ,英国 有 的 医院 甚至 不 能 正常 实施 手术 。 人 金融 、 能 源 、 电 力 、 
通信 、 交 通 等 关键 基础 建设 企业 的 信息 系统 是 经 济 社会 运行 的 神经 中 枢 , 是 网 络 安 全 的 重 
中 之 重 , 也 是 可 能 遭 到 重点 攻击 的 目标 。 勒 索 病 毒 的 高 效 变现 能 力 给 全 球 网 络 犯罪 分 子 
以 巨大 局 发 。 可 以 预见 ,未 来 此 类 网 络 恕 怖 梯 击 将 大 行 其 道 ,甚至 成 为 一 种 愈演愈烈 的 
常态 。 

显然 ,现实 世界 和 网 络 世 界 已 经 深度 连接 , 线 上 线 下 正在 深度 融合 ,可 以 说 整个 社会 
都 运行 在 互联 网 上 ,互联 网 已 经 成 为 像 水 . 电 和 空气 一 样 的 基础 设施 。 同 时 ,安全 问题 已 
经 泛 化 ,已 经 不 仅仅 是 计算 机 、 手 机 中 的 木马 病毒 .数据 泄露 等 纯粹 网 络 空间 的 事情 。 企 
业 管 理 层 应 深刻 认识 到 网 络 安全 形势 的 严峻 性 ,树立 科学 .规范 的 网 络 安全 观 。 


1.4.2 现代 网 络 安全 观 


日 前 政 企 机 构 和 常见 的 错误 网 络 安 全 观 的 主要 表现 如 下 : 安全 管理 以 免责 为 目标 ; 害 
怕 骏 露 问题 ,存在 侥幸 心理 ;关心 自身 损失 ,忽视 社会 责任 ;缺乏 动态 防御 与 应 急 啊 应 
意识 。 

企业 管理 层 应 树立 科学 .规范 的 现代 网 络 安全 观 ,保障 企业 信息 系统 的 安全 运营 。 企 
业 管 理 层 在 建立 管理 规划 、 规 划 安 全 运营 体系 时 ,必须 认识 到 以 下 两 大 失效 定律 ， 


(1) 一 切 违 痛 人 性 的 技术 与 管理 措施 痢 一 定 会 失效 。 

(2) 一 切 没 有 拉 术 手段 你 障 的 管理 指 施 一 定 会 失效 。 

信息 系统 安全 技术 的 发 展 主 要 经 历 了 3 个 时 代 : 在 第 一 个 时 代 ,病毒 初生 , 且 技 术 简 
单 .数量 有 限 ; 在 第 二 个 时 代 ,木马 开始 产业 化 ,海量 亚 意 样本 出 现 , 其 行为 更 加 复 洒 ;在 第 
三 个 时 代 , 随 春 设备 多 样 化 .系统 复杂 化 以 及 攻击 多 源 化 , 亚 意 样本 不 再 是 攻击 的 唯一 手 
段 ,其 至 也 不 再 是 必要 的 手段 。 每 一 时 代 的 时 代 苔 景 、 核 心 技 术 、 对 抗 对 和 象 、 安 全 目标 以 及 
对 人 的 要 求 都 是 不 同 的 ,如 表 1-3 所 未 。 


表 1-3 信息 系统 安全 技术 3 个 时 代 的 比较 


比较 项 第 一 个 时 代 第 二 个 时 代 第 三 个 时 代 
时 代 间 最 病毒 初生 ,技术 简单 , 数 | 木马 产业 化 ,样本 海量 | 设备 多 样 化 ,系统 复杂 
日 名 单 十 云 查 杀 十 主动 | 大 数据 十 人 工 智 能 十 协 
防御 十 人 工 智 能 引擎 同 联动 
对 抗 对 象 样本 与 样本 行为 攻击 者 与 攻击 行为 


让 TT 感 ? ,后 查 蒜 已 。 | i 
安全 目标 。” | 先 感染 ,后 查 杀 拒 之 门 外 an 


面 对 严 峻 的 网 络 安全 形势 ,为 建立 更 可 靠 、 更 完善 的 安全 运营 体系 ,企业 管理 层 需要 
假设 企业 信息 系统 已 出 现 最 坏 的 情况 ,从 而 准备 相应 的 解决 办 法 。 以 下 是 企业 需 杀 循 的 
4 个 安全 假设 : 

(1) 假设 一 定 有 未 知 的 安全 漏洞 。 

(2) 假设 一 定 有 已 知 但 未 修补 的 漏洞 。 

(3) 假设 系统 已 经 被 渗透 。 

(4) 假设 自己 的 员工 不 可 靠 。 

政 企 机 构 是 用 户 个 人 信息 泄露 事件 的 主要 责任 机 构 , 要 重视 在 政 企 机 构 内 部 业务 系 
统 中 由 于 人 的 违规 或 恶意 操作 引发 的 安全 问题 。 管 理 跑 失 的 危险 性 大 于 网 络 攻击 ,主要 
体现 在 5 个 环节 ,分 别 是 隔离 .认证 .管控 .监控 和 审计 。 政 企 机构 应 建立 相应 的 五 大 安全 
策略 , 即 隔 离 策 略 、 认 证 策略 .管控 策略 .监控 策略 和 审计 策略 ,从 而 维护 信息 系统 安全 。 


1.4.3 网络 安 全 滑动 标尺 模型 


SANS 人 研究 所 的 Robert M. Lee 提出 了 一 个 动态 安全 模型 一 一 网 络 安全 滑动 标 下 模 
型 。 该 模型 共 包 含 5 个 阶段 ,分 别 为 染 构 安全 (architecture) ,被 动 防御 (passive defense) 、 
积极 防御 (active defense) ,威胁 情报 (intelligence) 和 进攻 反 制 (offense)。 这 5 个 阶段 之 
间 具 有 连续 性 关系 ,并 有 效 展 示 了 防御 逐步 提升 的 理念 。 为 了 应 对 信息 系统 安全 威胁 , 企 
业 应 建立 一 个 类 似 的 整体 模型 , 绪 合 已 有 的 基础 架构 、 安 全 防护 措施 构建 大 加 演进 式 框 
架 , 如 图 1-4 所 示 。 
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核心 技术 特征 码 十 黑 名 单 


积极 防御 威胁 情报 进攻 反 制 


”进攻 反 制 
先发制人 


科学 规划 
强身 健 体 及 


全面 检测 获取 情报 
快速 响应 居 准 克基 各 


OFFENSE 


INTELLIGENCE 


ARCHITECTURE 


基础 对 抗 

* 收缩 攻击 面 
。 补丁 管理 ” 消耗 攻击 资源 
* 应 用 内 建 * 迟 总 攻击 


图 1-4 网 络 安全 滑动 标尺 模型 


(1) 架构 安全 。 在 系统 规划 、 建 立 和 维护 的 过 程 中 充分 考虑 安全 防护 。 

(2) 彼 动 防御 。 在 无 人 员 介 入 的 情况 下 , 构 毁 工事 ,建立 培 防 。 构 贷 工 事 是 指 增强 边 
界 防御 产品 日 主 的 防御 能 力 ,纵深 防御 是 指 建立 纵深 防御 的 体系 。 例 如 , 当 传 统 防火 墙 升 
级 为 下 一 代 防 火 增 之 后 ,开始 展现 出 新 的 能 力 ,如 应 用 识别 .用 户 识 别 、 内 容 识 别 、 威 胁 识 
别 、 资 产 识别 \ 位 置 识别 等 ,这 些 部 是 提升 防火 墙 内 在 安全 能 力 的 手段 。 

(3) 积极 防御 。 分 析 人 员 利 用 态势 感知 扩 术 对 网 络 内 的 威胁 进行 监控 、 啊 应 .和 学习 
(经 验 ) 和 应 用 (知识 理解 )。 

(4) 威胁 情报 。 收 集 数 据 , 将 数据 转换 为 信息 ,并 将 信息 加 工 为 评 佑 结 来 ,以 十 补 已 
知 知识 缺口 的 过 程 。 

(5) 进攻 反 制 。 在 友好 网 络 之 外 对 攻击 者 采取 的 和 卫 接 行动 (按照 《中 华人 民 共 和 国 网 
络 安全 法 》 的 要 求 , 对 于 企业 来 说 主要 是 通过 法 律 手段 对 攻击 者 进行 反击 )。 

现 阶段 大 多 数 企业 的 信息 系统 安全 工作 部 聚焦 于 架构 安全 和 被 动 防御 ,而 对 积极 防 
御 和 威胁 情报 则 涉及 较 少 。 因 此 ,在 设计 信息 系统 安全 防护 方案 时 ,应 该 聚焦 于 回顾 架构 
安全 , 补 强 被 动 防御 ,重点 发 展 积极 防御 和 威胁 情报 驱动 ,以 有 效 提 高 企业 的 信息 系统 安 
全 防护 能 力 。 

本 书 之 后 革 方 中 将 围绕 前 4 个 阶段 来 前 述 , 由 于 进攻 反 制 主要 涉及 具体 法 律 规定 ,在 
本 书 中 将 不 详细 介绍 。 


简 述 信息 系统 的 组 成 。 

简 述 信息 系统 与 组 织 间 的 关系 。 
企业 信息 系统 有 哪些 特点 ? 

. 什么 是 信息 系统 的 生命 周期 ? 


0 


. SVN 服务 豆 的 作用 十 什么 ? 

. 企业 信息 系统 的 建设 有 哪些 需求 ? 
. 层次 化 网 络 结构 模 型 分 为 哪 几 层 ? 
. 简 述 现代 网 络 安全 观 。 

. 简 述 网 络 安全 滑动 标 太 模型 的 5 个 类 别 。 


tO oO ~ 后 “1 
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随 着 信息 系统 建设 与 应 用 的 深入 ,信息 系统 已 渗透 到 企业 运作 的 方方面面 ,企业 信息 
系统 的 安全 运营 也 显得 更 加 重要 ,成 为 影响 信息 系统 应 用 效果 的 重要 因素 和 深入 发 展 的 
主要 瓶颈 。 本 章 首先 介绍 企业 信息 系统 安全 运营 的 基本 概念 ,接着 探讨 企业 信息 系统 安 
全 防护 体系 的 建设 以 及 安全 防护 设备 的 规划 ,最 后 详细 分 析 企业 信息 系统 安全 运 维 体系 
的 建设 。 


2 .1 信息 系统 安全 运营 概述 


信息 系统 安全 运营 是 指 为 应 对 动态 变化 的 安全 环境 ,在 信息 系统 交付 运行 后 ， np 
行 的 安全 防护 ,安全 运行 与 维护 ,从 而 提 融 信息 系统 的 运行 效率 ,降低 安全 风险 。 
要 强调 ,信息 系统 安全 运 党 是 信息 系统 生命 周期 的 最 后 一 个 eager pe 
大 致 分 为 信息 系统 安全 防护 和 信息 系统 安全 运 维 。 


2.1.1 企业 信息 系统 安全 运营 需 3 


计 息 系统 安全 主要 分 为 物理 安全 、 网 络 安全 、 主 机 安全 .应 用 安全 和 数据 安全 5 个 层 
次 ,但 企业 信息 系统 不 同 于 普通 的 信息 系统 ,两 者 在 安全 需求 方面 存在 较 大 差距 , 主要 体 
现在 以 下 方面 。 


1. 网 络 安全 万 面 
企业 信息 系统 的 网 络 结构 和 网 络 扣 扑 结构 比 普通 信息 系统 复杂 ,所 以 单一 的 网 络 安 
全 策 略 和 技术 手段 无 法 胜任 。 


2. 主机 安全 方面 

由 于 企业 信息 系统 的 设备 类 型 苔 多 ,各 种 设备 所 使 用 的 操作 系统 和 服务 不 同 , 要 管理 
说 多 设备 ,并 保证 所有 的 安全 设备 存在 同一 安全 基线 和 安全 状态 ,是 非常 困难 的 。 并 且 当 
操作 系统 补丁 出 来 后 ,需要 分 阶段 完成 主机 的 补丁 升级 。 


3. 应 用 安全 方面 

由 于 企业 信息 系统 所 涉及 的 业务 种 类 繁多 ,业务 相关 的 应 用 不 断 增加 且 类 型 多 样 , 除 
使 用 常规 的 安全 应 用 软件 外 ,还 有 必要 有 针对 性 地 开发 适用 于 当前 企业 规模 及 信息 系统 
的 安全 管理 应 用 ,并 实施 有 效 的 管理 策略 。 


网 络 安全 运营 


4. 数据 安全 方面 

企业 信息 系统 的 数据 量 庞 大 ,数据 类 型 也 异常 复杂 ,系统 中 海量 的 多 源 异 构 数 据 使 得 
安全 和 隐私 保护 工作 的 难度 增加 。 

信息 系统 安全 运营 建设 目标 可 以 概括 为 6 点 ,分 别 是 进 不 来 、. 拿 不 走 、 看 不 懂 、 改 不 
了 、 跑 不 掉 、 打 不 垮 , 信 息 系 统 中 所 有 的 安全 设备 的 建设 ,安全 管理 制度 的 制定 和 安全 策略 
的 实施 都 是 围绕 企业 信息 系统 的 这 6 个 目标 进行 的 。 

(1) 进 不 来 。 应 用 访问 控制 机 制 ,阻止 非 授 权 用 户 进 入 信息 系统 。 

(2) 拿 不 走 。 应 用 授权 机 制 , 实 现 对 用 户 的 权限 控制 , 即 不 该 拿 走 的 “ 拿 不 走 ”。 

(3) 看 不 懂 。 应 用 加 密 机 制 , 确 保 信 息 不 暴露 给 未 授权 的 实体 ,从 而 实现 信息 的 保 

(4) 改 不 了 。 应 用 数据 完整 性 鉴别 机 制 , 保 证 只 有 有 权限 的 人 才能 修改 数据 。 

(5) 跑 不 掉 。 应 用 审计 ,监控 等 安全 机 制 , 对 行为 进行 实时 跟踪 和 记录 ,一 旦 发 现 攻 
击 ,立刻 提供 调查 依据 和 手段 。 

(6) 打 不 塔 。 采 用 各 项 安全 防御 技术 和 灾 备 技术 手段 ,实现 抵御 日 然 灾害 及 恶意 攻 
击 ,维护 信息 系统 正常 运行 的 目标 。 


2.1.2 信息 系统 安全 等 级 划分 


企业 信息 系统 有 看 规模 庞大 、 体 系 复 森 、 类 型 繁多 、 地 域 广 泛 和 动态 变化 等 特点 ,其 面 
临 的 安全 威胁 也 是 复杂 多 样 的 。 为 了 提高 信息 系统 的 信息 安全 防护 能 力 ,降低 系统 遭受 
各 种 攻击 的 风险 ,国家 信息 安全 监管 部 门 制定 了 信息 安全 等 级 保护 制度 。 信 息 安 全 等 级 
保护 制度 是 国家 信息 安全 保障 工作 的 基础 ,也 是 一 项 事 关 国家 安全 .社会 稳定 的 政治 
任务 。 

对 企业 信息 系统 的 安全 需求 进行 等 级 划分 ,有 利于 开展 安全 规划 、 设 计 与 实施 工作 ， 
满足 各 种 安全 需求 ,对 企业 信息 系统 的 建设 和 管理 有 着重 要 的 指导 意义 和 实践 价值 。 

《信息 安全 等 级 保护 管理 办 法 ) 规 定 ,信息 系统 的 安全 保护 等 级 分 为 以 下 5 级 . 

(1) 第 一 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ， 
但 不 损害 国家 安全 、 社 会 秩序 和 公共 利益 。 第 一 级 信息 系统 运营 、 使 用 单位 应 当 依 据 国家 
有 关 管 理 规范 和 技术 标准 进行 保护 。 

(2) 第 二 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 起 重 
损害 ,或 者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 。 国 家 信息 安全 监管 部 门 
对 该 级 信息 系统 安全 保护 工作 进行 指导 。 

(3) 第 三 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 严重 损害 ,或 者 对 
国家 安全 造成 损害 。 国 家 信息 安全 监管 部 门 对 该 级 信息 系统 安全 保护 工作 进行 监督 、 
检查 。 

(4) 第 四 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 特别 严重 的 损害 ， 
或 者 对 国家 安全 造成 严重 损害 。 国 家 信息 安全 监管 部 门 对 该 级 信息 系统 安全 保护 工作 进 
行 强制 监督 .检查 。 
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(5) 第 五 级 ,信息 系统 受到 破坏 后 ,会 对 国家 安全 造成 特别 严重 损害 。 国 家 信息 安全 
监管 部 门 对 该 级 信息 系统 安全 保护 工作 进行 专门 监督 检查 。 

信息 系统 安全 等 级 测评 是 验证 信息 系统 是 否 满足 相应 安全 保护 等 级 的 评估 过 程 。 信 
上 县 安全 等 级 保护 要 求 不 同安 全 等 级 的 信息 系统 应 具有 不 同 的 安全 保护 能 力 。 一 方面 ,在 
安全 技术 和 安全 管理 上 选用 与 安全 等 级 相 适 应 的 安全 控制 ; 男 一 方面 ,将 分 布 在 信息 系统 
中 的 安全 技术 和 安全 管理 上 不 同 的 安全 控制 通过 连接 交互、 依赖 .协调 .协同 等 关系 相互 
关联 ,共同 作用 于 信息 系统 的 安全 功能 ,使 信息 系统 的 整体 安全 功能 与 信息 系统 的 结构 以 
及 安全 控制 间 、 层 面 间 和 区 域 间 的 密切 相关 。 因 此 ,信息 系统 安全 等 级 测评 要 在 安全 控制 
测评 的 基础 上 进行 系统 整体 测评 。 

《信息 安全 等 级 保护 管理 办 法 》 从 2007 年 开始 实施 。 为 了 适应 现 阶段 网 络 安全 的 新 
形势 .新 变化 以 及 新 技术 .新 应 用 发 展 的 要 求 ,2018 年 ,公安 部 发 布 ( 网 络 安全 等 级 保护 条 
例 ( 征 求 意见 稿 )》。2019 年 5 月 13 日 ,国家 市 场 监督 管理 总 局 、 国 家 标准 化 管理 委员 会 
正式 发 布 4 信 息 安全 技术 网 络 安全 等 级 保护 基本 要 求 兴 信息 安全 技术 网 络 安 全 等 级 保护 
测评 要 求 兴 信息 安全 技术 网 络 安全 等 级 保护 安全 设计 技术 要 求 }》 等 国家 标准 ,这 些 标准 将 
于 2019 年 12 月 1 日 开始 实施 。 


2.1.3 信息 系统 安全 运 究 染 构 


针对 信息 系统 的 网 络 安全 服务 有 5 个 基本 目标 , 即 可 用 性 、 保 密 性 、 完 整 性 、 真 实 性 和 
不 可 否认 性 。 围 绕 这 5 个 基本 目标 ,网 络 安全 行业 根据 网 络 安全 态势 和 安全 技术 的 发 展 
曾 提出 多 种 安全 体系 (如 PDRR 模型 ) 。 随 着 大 数据 . 云 计 算 . 人 工 智 能 等 新 兴 技术 在 安 


全 领域 的 应 用 ,攻防 双方 都 有 了 长 足 的 进步 ,针对 企业 信息 系统 应 提出 适应 新 的 网 络 环境 
的 安全 体系 架构 。 

1. PDRR 模型 

PDRR 模型 是 最 常见 的 安全 运营 模型 。 它 包括 防护 (Protection) ,检测 (Detection)、 
啊 庙 (Response) 和 恢复 (Recovery)4 个 部 分 。 这 4 个 部 分 构成 一 个 动态 的 信息 系统 安全 


运营 周期 。PDRR 模型 如 图 2-1 所 示 。 


防护 
(Protection) 


fF 
| 
恢复 安全 策略 ] 检测 
(Recovery) (Policy) | (Detection) 
“ /J/ 
~ 
响应 
(Response) 


图 2-] PDRR 模型 


1 


网 络 安 全 运营 1 


PDRR 模型 的 每 一 部 分 都 包括 一 组 相应 的 安全 措施 ,能 够 完成 一 定 的 安全 功能 。 安 
全 策略 的 第 一 部 分 就 是 防护 ,根据 系统 已 知 的 所 有 安全 问题 实施 防御 措施 ,如 更 新 补丁 程 
序 . 设 置 访问 控制 策略 、 对 数据 进行 加 密 等 。 gp tatooapr nh 攻击 者 如 果 
突破 了 防御 系统 ,检测 系统 就 能 检测 出 来 。 这 一 部 分 的 功能 就 是 检测 入 侵 者 的 身份 。 

旦 检测 出 入 侵 ,响应 系统 就 开始 响应 。 二 
生 后 ,将 系统 恢复 到 原来 的 状态 ， 


2. WPDRRC 模型 

WPDRRC 模型 是 我 国 863 信息 安全 专家 组 在 PDRR 模型 的 基础 上 提出 的 适合 中 国 
国情 的 信息 系统 安全 运营 体系 建设 模型 。WPDRRC 模型 有 6 个 环节 和 3 大 要 素 。6 个 环 
方 包括 预警 (Warning) .防护 (Protection) 检测 (Detection)、 啊 应 (Response) ,恢复 (Recovery) 
和 反击 (Counterattack) ,它们 具有 较 强 的 时 序 性 和 动态 性 ,能 够 较 好 地 反映 出 信息 系统 安全 
运营 体系 的 预警 能 力 、 防 护 能 力 、 检 测 能 力 、 啊 应 能 力 ,恢复 能 力 和 反击 能 力 。3 大 要 素 包 括 
人 员 、 案 上 略 和 技术 。 其 中 ,人 员 是 核心 , 案 略 是 桥梁 ,技术 是 保证 , 洛 实在 WPDRRC 模型 的 6 
个 环节 的 各 个 方面 ,将 安全 策略 变 为 安全 现实 。WPDRRC 模型 如 图 2-2 所 示 。 


防护 
(Protection) 
预警 人 技术 检测 
(Warning) (I a (Detection) 
SN 4 / 
策略 
(Policy) 
a ~ 人 员 | 
(Staff) 响应 
(Counterattack) (Response) 
二 ES 
OCC 


(Recovery) 


图 2-2 WPDRRC 模型 


3. PPDR 模型 

传统 静态 安全 解决 方案 仅 能 告诉 系统 安全 运营 人 员 人 侵 攻 击 结果 ,安全 运营 人 员 对 
整个 人 侵 过 程 却 不 得 而 知 ,往往 都 是 在 系统 失陷 之 后 才能 被 动 实施 防御 ,频频 “挨打 ”月 然 
也 就 不 可 避免 。 面 对 各 种 新 型 安全 威胁 ,传统 被 动 式 防御 措施 已 经 不 能 满足 安全 需求 ,在 
当今 的 安全 新 形势 下 ,安全 运营 人 员 需 要 采用 新 的 安全 模型 。 


< 
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第 2 草 企业 信息 系统 安全 运营 


当前 业界 主流 安全 企业 和 研究 机 构 认 可 的 PPDR 模型 是 由 Predict (预测 )、Prevent 
(防御 ) .Detect( 检 测 )、Retrospect( 回 溯 )4 个 阶段 组 成 的 财 环 安全 防护 模型 ,如 图 2-3 
所 示 。 
预测 (Predict) 防御 (Prevent) 
es 模糊 防御 


白 名 单机 制 
权限 认证 加 固 


威胁 情报 
信誉 /行为 趋势 


攻击 预测 ly \ 。 资源 加 密 


自 适应 性 
Adaptivity 
。 反 调试 、 反 模拟 器 
漏洞 和 系统 修复 人 提 权 检测 
安全 策略 调整 4 数据 校 验 
攻击 分 析 和 济源 ; > 设备 指纹 绑 定 
进攻 反 制 环境 认证 
。 反 亚 意 软 件 


回溯 (Retrospect) 检测 (Detect) 
图 2-3 PPDR 模型 


PPDR 安全 运营 体系 是 一 种 动态 的 ,主动 的 .对抗 性 的 战略 思维 。 在 此 背景 下 ,威胁 
预测 (Predict) 能 力 成 为 核心 安全 组 件 ,根据 威胁 情报 等 预测 结果 做 出 相应 安全 防御 
(Prevent) 动 作 , 同 时 对 潜在 威胁 风险 进行 持续 检测 (Detect) ,并 动态 调整 安全 防护 策略 ， 
对 检测 结果 快速 啊 应 (Respond) ,并 进一步 反馈 和 加 强 预 测 能 力 , 形 成 安全 闭环 。 

预测 能 力主 要 依赖 于 威胁 情报 。 安 全 防护 系统 可 从 外 部 监控 下 的 攻击 者 行动 中 学 
习 ,主动 发 现 各 种 对 现 有 系统 以 及 信息 的 威胁 和 攻击 ,对 漏洞 划 定 等 级 和 和 定位 ,并 将 情报 
反馈 到 防御 和 检测 阶段 ,从 而 构成 整个 威胁 处 理 流程 的 财 环 。 在 安全 能 力 层 ,预测 能 力 要 
实现 的 目标 是 对 恶意 威胁 的 可 见 . 可 感知 ,获取 Who( 谁 在 攻击 )、How( 如 何 攻 击 )、 
Where( 在 哪个 区 域 进行 攻击 ) 和 What( 将 造成 怎样 的 危害 ) 这 4 个 恶意 攻击 要 率 , 帮 助 信 
县 系统 构建 更 具 针 对 性 .更 为 有 效 的 安全 防线 。 

防御 能 力 是 指 可 用 于 防御 攻击 的 一 系列 策略 集 、 产 品 和 服务 。 基 于 威胁 情报 内 容 的 
主动 安全 防御 ,主要 通过 部 昔 安 全 服务 产品 减少 攻击 面 来 提升 攻击 者 的 门 榴 , 并 在 受 影响 
前 拦截 攻击 动作 ,例如 通过 应 用 安全 加 固 和 安全 代码 检测 等 加 强 应 用 保护 。 防 御 能 力 不 
仅 需 要 提供 系统 安全 保护 .移动 威胁 情报 .事前 /事后 应 急 啊 应 等 服务 ,同时 还 需要 针对 业 
务 定 加 威胁 提供 贯穿 生命 周期 的 纵 座 防御 体系 ,在 将 安全 能 力 渗 透 到 信息 系统 的 各 类 终 
痊 的 同时 ,还 要 把 安全 能 力 延 伸 至 传输 病 以 及 云端。 

检测 能 力 用 于 发 现 那 些 逃 过 防御 网 络 的 攻击 ,其 关键 目标 是 降低 威胁 造成 的 “停摆 时 
间 ” 以 及 其 他 潜在 的 损失 。 检 测 能 力 非 常 关键 ,因为 企业 应 该 假设 日 己 已 处 在 被 攻击 状态 
中 。 检 测 功能 的 重点 是 对 应 用 程序 周围 环境 (例如 设备 或 服务 硕 ) 的 检测 ,以 确定 它 是 否 
可 以 被 信任 。 例 如 ,程序 完整 性 检查 可 以 检测 应 用 程序 是 否 已 被 算 改 ,包括 整个 应 用 程序 
的 校 验 ,或 者 检查 应 用 程序 中 包含 的 库 和 调用 的 清单 等 。 检 测 阶 段 的 主要 目标 是 及 时 发 
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现 各 拓 外 部 直接 或 沟 伏 的 攻击 。 传 统 安 全 防护 体系 中 的 检测 阶段 是 各 企业 投入 最 大 且 最 
依赖 的 部 分 ,因此 也 是 构建 PPDR 安全 架构 时 最 需要 做 出 改变 的 阶段 。 

在 安全 能 力 层 可 以 对 病毒 .木马 ` 恶 意 代 码 等 安全 特征 进行 检测 ,并 对 日 身 风险 漏洞 
进行 定制 化 检测 ,同时 也 可 以 对 应 用 程序 进行 静态 狂 洞 扫 朱 ,并 在 模拟 天 中 对 应 用 程序 进 
行 实 时 漏洞 攻击 检测 。 

回溯 能 力 是 在 系统 融 效 安全 啊 应 的 基础 上 ,用 于 高 效 调 查 和 和 补救 被 检测 分 析 功 能 (或 
外 部 服务 ) 查 出 的 事件 ,以 提供 入 侵 认证 和 攻击 来 源 分 析 服 务 , 并 产生 新 的 预防 手段 来 避 
免 未 来 可 能 发 生 的 事故 。 

在 新 型 的 安全 威胁 下 ,采用 PPDR 目 适 应 安全 体系 与 传统 的 被 动 防护 体系 相 比 ,有 
着 诸多 优势 。 在 整体 防护 能 力 方 面 ,PPDR 日 适应 安全 体系 融 预 测 、 防 御 、 检 测 以 及 回 湖 
于 一 体 , 与 传统 单一 被 动 防御 的 安全 策略 相 比 ,PPDR 日 适应 安全 体系 更 加 全 面 。 在 预防 
方面 ,PPDR 日 适应 安全 体系 更 加 强调 攻防 ,初步 具备 反 制 攻击 的 能 力 。 在 检测 方面 ， 
PPDR 目 适 应 安全 体系 加 强 了 日 动 实 时 检测 , 比 传统 的 IPS 或 IDS 更 加 积极 主动 ,同时 采 
用 机 各 学 习 和 蜜 色 等 技术 手段 ,增强 了 安全 检测 的 针对 性 , 误 报 源 报 率 显 者 降低 。PPDR 
月 适 应 安全 体系 采取 持续 啊 应 的 安全 入 上 略 ,而 不 仅仅 处 理应 急 啊 应 ,并 建立 了 多 层次 \ 长 
纵深 的 安全 防护 体系 。 

在 研究 企业 信息 系统 的 特点 并 融合 PPDR 模型 的 基础 上 , 奇 安信 集团 提出 企业 信息 
系统 安全 运营 体系 建设 的 架构 ,如 图 2-4 所 示 。 


企业 信息 系统 


用 户 数 量 众多 
数据 多 源 异 构 
应 用 海量 多 样 
庶 拟 应 用 广泛 
设备 类 型 党 多 
网 络 结构 复杂 


加 强 自身 构筑 工事 全 面 检测 获取 情报 
基础 健全 纵深 防御 快速 响应 准确 预警 
图 2-4 企业 信息 系统 安全 运营 体系 建设 架构 
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第 2 章 ”企业 信息 系统 安全 运营 上 @ 


企业 信息 系统 安全 运营 体系 的 生命 周期 分 为 4 个 阶段 : 基础 架构 安全 阶段 、 被 动 防 
御 阶 段 、 积 极 防 御 阶 段 和 威胁 情报 阶段 。 为 保障 企业 信息 系统 的 正常 运行 ,在 应 对 高 级 恶 
意 程 序 、.DDoS 攻击 .数据 窃取 .APT 攻击 勒索 与 敲诈 .0Day 漏洞 威胁 等 企业 信息 系统 安 
全 威胁 时 ,利用 PPDR 模型 来 保护 企业 信息 系统 的 网 络 层 安全 、 系 统 层 安全 、 虚 拟 层 安 
全 、 应 用 层 安全 数据 层 安全 和 用 户 层 安全 ,以 满足 信息 系统 安全 运营 体系 的 建设 目标 , 即 
进 不 来 . 拿 不 走 .看 不 懂 、 改 不 了 、 跑 不 掉 、 打 不 堵 。 

企业 信息 系统 网 络 结构 复杂 ,网 络 层 安全 主要 为 信息 系统 能 够 在 安全 的 网 络 环境 中 
运行 提供 支持 ,确保 网 络 系统 安全 运行 并 提供 有 效 的 网 络 服务 ;企业 信息 系统 设备 类 型 紧 
多 ,系统 层 安全 要 求 在 网 络 层 安全 的 情况 下 ,提供 安全 的 操作 系统 ,在 终端 层面 上 实现 操 
作 系 统 的 安全 运行 ;企业 信息 系统 虚拟 化 应 用 广泛 ,虚拟 层 安全 要 求 在 网 络 层 和 系统 层 安 
全 的 情况 下 ,在 虚拟 化 环境 中 正常 部 署 安全 管控 策略 ,确保 虚拟 机 的 安全 运行 ;企业 信息 
系统 应 用 海量 多 样 ,应 用 层 安 全 要 求 在 网 络 层 .系统 层 安 全 的 支持 下 ,实现 内 部 网 络 OA 
软件 .FTP 软件、 数据库 软件 通过 业务 需求 所 确定 的 安全 目标 ;企业 信息 系统 的 数据 多 源 
异 构 ,数据 层 安全 则 重点 关注 信息 系统 中 人 存储、 传输, 处理 等 过 程 的 数据 安全 性 ;企业 信息 
系统 的 用 户 数 量 众多 ,用 户 层 安全 要 求 对 企业 信息 系统 的 用 户 进行 安全 可 靠 的 身份 认证 
和 权限 管理 。 


2.1.4 信息 系统 安全 运营 体系 框架 


为 简化 信息 系统 安全 运 音 体系 框架 ,这 里 将 其 分 为 信息 系统 安全 防护 框 朵 和 信息 系 
统 安 全 运 维 框架 。 其 中 ,信息 系统 安全 防护 框 染 泗 盖 基础 染 构 安全 阶段 和 被 动 防御 阶段 ， 
主要 工作 是 规划 基础 安全 和 建设 纵深 防御 。 信 息 系统 安全 运 维 框 架 渭 盖 积 极 防御 阶段 和 
威胁 情报 阶段 ,主要 进行 预测 、 检 测 、 告 老 、 回 漳 和 应 急 咽 应 等 维护 工作 。 

为 保障 企业 信息 系统 的 安全 ,利用 各 种 拉 术 和 管理 手段 达到 基本 的 安全 保护 能 力 , 信 
息 系 统 安全 防护 框 织 需要 满足 信息 系统 安全 运 朝 体系 建设 的 基本 目标 , 即 进 不 来 、 拿 不 
走 、 看 不 全 、 改 不 了 ,. 跑 不 反 、 打 不 二 。 信 息 安 全 防护 框 溢 从 下 至 上 可 分 为 6 个 层面 ,分 别 
为 网 络 层 安 全 管控 .系统 层 安全 管控 .虚拟 层 安 全 管控 .应 用 层 安 全 管 拱 .数据 层 安 全 管控 
及 用 户 层 安全 管控 ,通过 不 同 层面 的 安全 管控 实现 纵深 防御 。 

信息 系统 安全 运 维 框 以 的 主要 工作 是 统一 采集 信息 系统 安全 防护 框架 各 安全 传 感 关 
的 监测 信息 ,并 通过 黑 名 单 .日 名 单 ` 其 名 单 处 理 和 关联 分 析 处 理 监 测 信息 并 通过 统一 展 
示 平 台 输 出 告 竺 ,进入 事件 处 理 平 台 和 流程 ,人 工 介 入 处 理 , 并 对 信息 安全 事件 通过 日 报 、 
周报 汇总 及 上 总结 的 方式 进行 处 理 , 形 成 信息 安全 运 维 的 闭环 式 省 理 。 同 时 需要 定期 对 系 
统 进行 检测 ,对 信息 系统 进行 安全 渗透 测试 ,以 期 发 现 信 息 系 统 中 存在 的 各 种 安全 隐患 ， 
并 和 需 不 断 调 整 和 完 辫 安全 案 略 ,党 实 各 种 安全 技术 手段 ,以 你 障 信 息 系 统 的 安全 。 


2.1.5 信息 系统 安全 运营 原则 


1. 技术 与 管理 并 重 原 则 
很 多 企 事 业 单 位 的 省 理 者 认为 使 用 安全 设备 就 能 解决 安全 问题 ,但 实际 上 并 不 是 仅 
仅 使 用 安全 设备 就 一 定 能 解决 安全 问题 。 安 全 运 宫 体系 是 一 个 复杂 的 系统 工程 ,涉及 人 、 
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技术 ,管理 、 规 章 制 度 和 操作 流程 等 要 素 , 单 靠 技 术 或 单 靠 管理 都 不 可 能 实现 ,因此 ,必须 
将 各 种 安全 技术 与 运行 管理 机 制 . 人 员 思 想 教育 与 技术 培训 、 安 全 规章 制度 建设 相 结合 
信息 安全 三 分 靠 技术 ,七 分 靠 管 理 。 同 时 , 企 事业 单位 的 每 个 员工 ,从 最 高 决策 者 ,信息 安 
全 运营 工程 师 到 每 个 普通 员工 ,都 需要 提高 自身 的 信息 安全 意识 ,并 重视 信息 安全 。 企 事 
业 单 位 应 制定 各 种 保障 信息 安全 的 规章 制度 ,并 在 单位 内 部 严格 遵循 各 种 信息 安全 管理 
制度 ,只 有 这 样 ,才能 保障 企 事业 单位 信息 系统 的 安全 。 


2. 统筹 规划 与 分 步 实 施 原 则 

由 于 环境 .条 件 ,时间 的 变化 ,攻击 手段 在 不 断 演进 ,安全 防护 不 可 能 一 步 到 位 。 可 以 
在 一 个 比较 全 面 的 安全 规划 指导 下 ,根据 网 络 的 实际 要 求 , 先 建立 基本 的 安全 防护 体系 ， 
保证 基本 和 必要 的 安全 性 。 网 络 安全 规划 应 具有 未 来 扩充 性 , 随 着 网 络 安全 的 变化 不 断 
调整 安全 措施 ,适应 新 的 网 络 环境 ,满足 新 的 网 络 安全 需求 。 


3. 同步 规划 建设 原则 

计 息 系统 在 新 建 、 改 建 . 扩 建 时 应 当 同 步 规划 和 设计 安全 方案 ,在 信息 系统 建设 的 初 
期 就 应 该 考虑 网 络 安全 问题 ,投入 一 定 比例 的 资金 建设 网 络 安全 设施 ,保障 网 络 信息 安全 
与 信息 系统 建设 同步 。 关键 业 务 相关 系统 的 稳定 和 安全 运行 是 安全 工作 的 核心 ,应 当 着 
重 从 系统 全 生命 周期 .全 流程 角度 来 同步 考虑 安全 工作 ,使 安全 建设 符合 业务 发 展 需要 。 

在 信息 系统 安全 运营 体系 建设 中 ,以 同步 规划 、 同 步 建 设 、 同 步 运营 为 指导 思想 ,本 着 
“ 谁 主管 . 谁 负责 ”的 工作 原则 落实 执行 ,在 系统 生命 周期 各 阶段 明确 责任 部 门 及 安全 职 
责 , 在 信息 系统 建设 全 过 程 中 推行 安全 同步 开展 的 原则 ,强化 安全 工作 前 移 的 意识 ,降低 
运 维 阶段 的 压力 。 在 信息 系统 建设 过 程 中 建立 和 推行 一 套 工作 机 制 ,包括 从 规划 到 验收 
阶段 统一 的 管理 制度 ,技术 规范 .实施 细则 和 工作 流程 ,并 在 此 过 程 中 梳理 支撑 手段 。 统 
筹 规划 从 前 端 到 运 维 末 端 各 阶段 中 各 部 门 安 全 工作 的 一 体 化 开展 ,最 终 推动 信息 系统 生 
命 周 期 安全 目标 的 落实 ， 


4. 等 级 性 原则 

等 级 性 是 指 安 全 层次 和 安全 级 别 。 民 好 的 信息 安全 系统 应 划分 不 同 的 安全 层次 和 安 
全 级 别 ,包括 对 信息 保密 程度 分 级 .对 用 户 操作 权限 分 级 .对 网 络 安全 程度 分 级 (安全 子 网 
和 安全 区 域 ) 和 对 系统 实现 结构 的 分 级 (应 用 层 .网 络 层 .数据 链 路 层 等 ) ,从 而 针对 不 同 级 
别 的 安全 对 象 提供 全 面 、 可 选 的 安全 算法 和 安全 机 制 , 以 满足 网 络 中 不 同 层 次 的 各 种 实际 


5. 整体 性 原则 

网 络 信息 安全 的 整体 性 原则 也 称 木 棚 原 则 ,是 指 对 信息 进行 全 面 的 安全 保护 。 企 业 
信息 系统 在 物理 上 .操作 上 和 管理 上 的 种 种 独 洞 都 会 造成 信息 系统 的 安全 脆弱 性 ,尤其 是 
多 用 户 网 络 系统 目 身 的 复杂 性 .资源 共 至 性 ,使 单纯 的 技术 保护 防不胜防 。 攻 击 者 使 用 最 
昂 渗 透 原则 ,对 系统 中 最 薄弱 的 地 方 进行 攻击 。 因 上 此, 充分、 全面. 完整 地 对 系统 的 安全 源 
洞 和 安全 威胁 进行 分 析 、 评 信和 检测 (包括 模拟 攻击 ) 是 设计 信息 系统 的 必要 前 提 条 件 。 
安全 机 制 和 安全 服务 设计 的 自 要 目标 是 防止 最 第 见 的 攻击 手段 ,根本 目标 是 提 融 整 个 系 
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统 的 安全 最 低 点 的 安全 性 能 ,从 而 提升 系统 的 总 体 安 全 防御 能 力 。 


6. 相对 安全 原则 

任何 信息 系统 都 无 法 保证 绝对 安全 。 安 全 设备 本 身 也 包含 便 件 和 软件 代码 ,只 要 有 
软件 代码 , 驶 一 定 存在 安全 隐患 ,没有 绝对 安全 的 软件 代码 ,网 络 安全 设备 本 身 也 并 不 能 
保证 软件 代码 绝对 安全 。 网 络 安全 设备 也 需 定 期 维护 和 升级 ,从 而 防范 可 能 存在 的 各 种 
安全 风险 。 态 外 ,需要 建立 合理 、 实 用 的 安全 性 与 用 户 需 求 评价 与 平衡 体系 ,安全 体系 设 
计 要 正确 处 理 需求 .风险 与 代价 的 关系 ,兼顾 安全 性 与 可 用 性 。 评价 信息 是 否 安全 ,没有 
绝对 的 评判 标准 和 衡量 指标 ,需要 基于 系统 的 用 户 需 求 , 应 用 环境 、 规 醒 和 光 围 .系统 性 
质 、 信 息 重 要 程度 作出 判断 。 


7. 最 小 权限 原则 

受 保护 的 敏感 信息 只 能 在 一 定 范 围 内 被 共 诗 。 履 行 工 作 职 丙 和 职能 的 安全 主体 ,在 
法 律 和 相关 安全 策略 允许 的 前 提 下 ,为 满足 工作 需要 , 仅 被 授予 其 访问 信息 的 适当 权限 ， 
这 一 原则 称 为 最 小 化 原则 。 对 敏感 信息 的 知情 权 一 定 要 加 以 限制 ,是 在 满足 工作 需要 前 
提 下 的 一 种 限制 性 开放 。 


8. 闭环 入 理 原则 

财 环 管理 是 综合 闭环 系统 、 管 理 的 封闭 原理 、 管 理 控制 .信息 系统 等 原理 形成 的 一 种 
管理 方法 。 它 把 管理 过 程 作 为 一 个 财 环 系统 ,根据 客观 实际 的 变化 ,完成 灵活 、 正 确 的 信 
县 反馈 并 作出 相应 变 羊 ,使 矛盾 和 问题 得 到 及 时 解决 ,在 循环 积累 中 不 断 发展 。 在 企业 信 
县 系统 财 环 管理 中 ,系统 将 用 户 在 应 用 业务 时 触发 的 故障 告警 提交 给 安全 运 维 工 程 师 ; 安 
全 运 维 工 程 师 对 故 隐 进 行 有 效 排 除 ,同时 将 故障 反 饥 给 系统 研发 人 员 或 者 系统 维护 人 员 ，; 
系统 癸 发 人 员 或 者 系统 维护 人 员 可 以 对 系统 进行 修补 或 者 升级 ,从 而 防止 安全 故障 和 告 
警 再 次 发 生 。 安 全 运 维 的 各 环 世 环 环 相 扣 , 你 证 了 系统 管理 的 稳定 和 安全 。 


9. 统一 管控 原则 

统一 管控 原则 要 求 在 网 络 发 生 攻击 和 破坏 事件 的 情况 下 ,必须 尽 可 能 快速 恢复 服务 
以 减少 损失 。 因 此 ,信息 安全 系统 应 该 包括 安全 防护 机 制 . 安 全 检测 机 制 和 安全 恢复 机 
制 。 安 全 防护 机 制 的 功能 是 根据 具体 系统 存在 的 各 种 安全 威胁 采取 防护 措施 ,以 避免 非 
法 攻击 。 安 全 检测 机 制 的 功能 是 检测 系统 的 运行 情况 ,及 时 发 现 和 制止 攻击 者 对 系统 进 
行 的 各 种 攻击 。 安 全 恢复 机 制 的 功能 是 在 安全 防护 机 制 失效 的 情况 下 进行 应 急 处 理 , 并 
量 及 时 地 恢复 信息 ,减少 业务 受 破坏 的 程度 。 

10. 易 操 作 性 原则 

易 操作 性 原则 体现 为 两 点 : 首先 ,安全 措施 需要 人 去 完成 ,如 果 措 施 过 于 复杂 ,对 人 
的 要 求 过 高 ,反而 会 降低 安全 性 ;其 次 ,安全 措施 的 实施 不 应 影响 系统 的 正常 运行 。 

11. 可 视 化 与 可 度量 原则 

可 视 化 原则 是 指 利用 可 视 化 方法 让 管理 者 有 效 掌握 系统 信息 ,实现 管理 上 的 透明 化 与 
可 视 化 ,这 样 管理 效果 可 以 渗透 到 信息 系统 的 各 个 环节 。 可 视 化 管理 能 让 系统 的 流程 更 加 
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直观 ,使 系统 内 部 的 信息 实现 可 视 化 ,并 能 得 到 更 有 效 的 传达 ,从 而 实现 管理 的 透明 化 。 

可 度量 原则 指 信息 系统 各 项 指标 可 度量 ,可 获取 验证 这 些 指标 的 数据 或 者 信息 ,系统 
有 一 个 统一 的 、 标 准 的 、 清 晰 的 可 度量 标尺 ,杜绝 在 目标 设置 中 使 用 形容 词 等 概念 模糊 .无 
法 衡量 的 描述 。 目 标的 可 度量 性 一 般 从 数量 、 质 量 ` 成 本 、 时 间 等 几 个 方面 来 体现 ,如 果 不 
能 进行 衡量 ,可 考虑 将 目标 细 化 为 多 个 分 目标 ,再 从 以 上 几 个 方面 衡量 ;如 果 仍 不 能 度量 ， 
还 可 以 将 完成 目标 的 工作 流程 化 ,使 目标 可 度量 。 


12. 黑暗 和 森林 法 则 
在 科 纪 小 说 4 三 体 》 中 ,有 一 个 "黑暗 和 森林 法 则 ”。 它 的 意思 是 :在 宇宙 中 有 许多 不 同 的 


文明 ,每 一 个 文明 部 不 希望 补 更 高 等 级 的 文明 “看 见 ”, 这 是 因为 一 旦 被 “看 见 ”, 就 可 能 被 
消灭 。 在 网 络 安全 的 攻防 领域 中 ,这 个 规则 也 适用 。 

在 网 络 安 全 中 ， 看 见 ? 是 一 个 至 天 重要 的 能 力 , 未 来 的 网 络 安全 是 攻防 "看见 ?能 力 的 
争夺 ,而 决定 看见” 能 力 的 基础 是 数据 。 基 于 大 数据 和 诬 度 学 习 的 分 析 得 到 结 来 ,以 帮助 
互联 网 安全 企业 提升 其 看见” 的 能 力 。 

所 有 的 网 络 行为 都 会 形成 猴 迹 ,有 猴 迹 留 下 就 有 数据 ,安全 大 数据 是 形成 看见? 能 力 
的 基础 。 有 了 数据 后 ,还 要 有 效 据 的 关联 、 分 析 和 挖掘 能 力 ,结合 安全 专家 的 经 验 , 才 能 形 
成 "看见 "的 能 力 。 

在 网 络 安全 的 攻防 世界 里 ,企业 需要 做 到 的 是 能 "看见 ?" 更 多 的 安全 威胁 。 
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2.2.1 安全 防护 体系 总 体 规划 


企业 信息 系统 安全 防护 体系 建设 是 一 个 长 期 的 过 程 ,在 开展 安全 防护 体系 建设 实际 
工作 之 前 ,需要 对 信息 安全 工作 作出 总 体 规 划 ,主要 经 过 安全 域 确定 、 安 全 标准 参考 、 风险 
评 佑 .安全 需求 分 析 以 及 安全 防护 方案 形成 5 个 阶段 ,如 图 2-5 所 示 。 

安全 域 确 定 是 企业 信息 系统 安全 防护 体系 建设 的 首要 任务 。 首 先 需 要 确定 企业 信息 
系统 安全 防护 体系 的 防护 范围 ,目的 是 明确 企业 信息 系统 应 受到 保护 的 边界 和 防护 对 象 ， 
将 所 有 防护 对 象 梳理 清楚 ,建立 纵深 防御 的 层次 ,并 根据 系统 的 实际 情况 划分 安全 域 ,将 
相同 安全 防护 需求 的 对 象 划 分 到 同一 个 安全 域 ,设置 清晰 的 防护 边界 ,以 便 更 高 效 、 可 靠 
地 对 系统 进行 保护 。 

安全 标准 参考 是 对 不 同 的 防护 对 象 参 照相 关 的 安全 标准 确定 安全 防护 等 级 。 安 全 定 
级 主要 分 为 对 防护 对 象 整体 的 定 级 以 及 对 防护 对 象 组 成 部 分 的 定 级 。 在 不 同 的 安全 防护 
层次 ,可 能 存在 不 同 的 安全 定 级 对 象 , 要 对 这 些 不 同 的 安全 定 级 对 象 有 明确 的 划分 ,遵照 
相关 安全 标准 实施 具体 的 定 级 任务 。 除 此 之 外 ,还 需要 对 安全 防护 对 象 进行 安全 控制 点 
分 析 , 枚 举 所 有 可 能 的 安全 控制 点 ,对 每 一 个 安全 控制 点 要 明确 其 安全 控制 要 求 。 相 同 的 
安全 控制 点 ,在 不 同 的 安全 定 级 条 件 下 ,其 安全 控制 要 求 是 不 同 的 。 

风险 评估 是 对 信息 系统 及 由 其 处 理 .传输 和 存储 的 信息 的 保密 性 .完整 性 和 可 用 性 等 
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安全 标准 参考 风险 评估 


dae l 折 制 吕 | | 各 各 要 求 |。 | 多 六 和: 志 肋 识 


确定 安全 网 络 层 “| 
防护 重点 | | 安全 管控 | 


安全 防护 方案 形成 
图 2-5 企业 信息 系统 安全 防护 体系 规划 


安全 属性 进行 科学 评价 的 过 程 。 它 要 评估 信息 系统 的 脆弱 性 .信息 系 统 面临 的 威胁 脆弱 
性 被 威胁 源 利 用 后 所 实际 产生 的 负面 影响 ,并 根据 安全 事件 发 生 的 可 能 性 和 负面 影响 的 
程度 来 识别 信息 系统 的 安全 风险 。 风 险 评 估 主 要 包括 资产 识别 .脆弱 性 识别 和 威胁 识别 ， 
并 对 已 有 的 安全 措施 进行 确认 等 过 程 。 在 自 适应 的 安全 防护 框架 下 ,通过 风险 评估 ,能 够 
明确 地 对 系统 可 能 存在 的 安全 风险 进行 排序 .了解 当 前 所 面临 的 安全 风险 ,了 解 信息 系统 
的 安全 现状 ,并 通过 机 器 学 习 等 新 技术 手段 发 现 更 多 的 潜在 威胁 。 为 下 一 步 控制 和 降低 
安全 风险 ,改善 安全 状况 提供 客观 和 翔实 的 依据 。 

安全 需求 分 析 是 企业 信息 系统 安全 防护 体系 建设 的 核心 工作 任务 。 安 全 需求 分 析 的 
核心 方针 是 握 弃 传统 的 被 动 防御 策略 同 , 选 择 加 强攻 防 能 力 的 主动 防御 策略 ,将 企业 信息 
系统 的 安全 防护 重点 从 单一 的 物理 设备 防护 转向 整个 系统 服务 器 以 及 云端 ,了 解 当 前 的 
安全 措施 与 计划 的 安全 目标 之 间 的 差距 。 在 技术 方面 ,要 强化 系统 整体 攻防 能 力 ;在 管理 
方面 ,要 形成 安全 工作 的 可 量化 指标 ,并 从 网 络 层 安全 ,系统 层 安全 .虚拟 层 安全 、 应 用 层 
安全 ,数据 层 安 全 和 用 户 层 安全 等 具体 角度 展开 工作 。 

在 完成 上 述 任务 的 前 提 下 ,进行 方案 的 最 终 整 理 和 规划 ,形成 针对 目标 企业 信息 系统 
的 安全 防护 方案 ,并 形成 详细 的 文档 和 实施 计划 ，。 

2.2.2 安全 域 确定 

网 络 安全 域 是 使 网 络 满足 保护 要 求 的 关键 技术 。 安 全 域 是 指 在 同一 系统 内 根据 信息 
的 性 质 . 使 用 主体 、 安 全 目标 和 策略 等 因素 划分 的 不 同 逻 辑 区 域 ,每 一 个 逻辑 区 域 有 相同 
的 安全 保护 需求 ,具有 相同 的 安全 访问 控制 和 边界 控制 策略 ,各 区 域 间 具有 相互 信任 关 
系 。 通 过 建设 基于 安全 域 的 网 络 安全 防护 体系 ,可 以 实现 以 下 目标 : 
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网 络 安 全 运营 


(1) 将 一 个 复杂 的 大 型 网 络 系统 的 安全 问题 转化 为 较 小 区 域 的 更 为 单纯 的 安全 保护 
问题 ,从 而 更 好 地 控制 网 络 安全 风险 ,降低 系统 风险 。 

(2) 利用 网 络 安全 域 的 划分 , 理 顺 网 络 染 构 , 更 好 地 指导 系统 的 安全 规划 和 设计 、 入 
网 和 验收 工作 ;明确 各 区 域 的 防护 重点 ,将 有 限 的 安全 设备 投入 到 最 需要 保护 的 信息 资产 
中 , 提 噩 安全 设备 利用 率 。 

(3) 简化 网 络 安全 的 运 维 工 作 , 部 署 网 络 审 计 设备 ,提供 检查 和 审核 的 依据 。 

安全 域 划 分 的 条 自 是 将 同一 安全 等 级 需求 的 网 络 组 成 部 分 划分 到 同一 安全 域 中 。 安 
全 域 从 不 同 的 应 用 维度 可 以 有 多 种 划分 依据 。 通 常 基本 的 安全 域 划 分 为 计算 域 ,用户 域 、 
网 络 域 和 文 择 域 等 。 还 可 以 采用 按照 企业 业务 网 络 层次 划分 等 方式 。 

安全 域 划 分 的 基本 原则 包括 以 下 几 条 : 

(1) 业务 保障 原则 。 进 行 安 全 域 划 分 的 根本 目标 是 能 够 更 好 地 保障 网 络 上 承载 的 业 
务 。 在 保 隐 安全 的 同时 ,还 要 保 隐 业务 的 正 背 运行 和 运行 效率 。 

(2) 结构 简化 原则 。 安 全 域 划 分 的 直接 目的 和 效 来 是 要 将 整个 网 络 变 得 更 加 价 单 ， 
简单 的 网 络 结构 便于 设计 安全 防护 体系 。 因 此 ,安全 域 划 分 并 不 是 粒度 越 细 越 好 ,安全 域 
数量 过 多 反而 可 能 会 导致 安全 域 的 管理 过 于 复杂 ,实际 操作 过 于 困难 。 

(3) 立体 协 防 原 则 。 围 绕 安 全 域 的 防护 需要 在 各 个 层次 (包括 物理 链 路 \ 网 络 、 主 机 
系统 .应 用 等 层次 ) 展 开 。 同 时 ,在 部 闭 安 全 域 防 护 体 系 的 时 候 , 要 综合 运用 喘 份 鉴别 、 访 
问 控制 .检测 审计 、 链 路 见 余 ,内容 检 测 等 各 种 安全 功能 实现 协 防 。 

(4) 生命 周期 原则 。 对 于 安全 域 的 划分 和 布防 不 仅 要 考虑 静态 设计 ,还 要 考虑 动态 
的 变化 。 男 外 ,在 安全 域 的 建设 和 调整 过 程 中 还 要 考虑 工程 化 的 管理 。 


1. 安全 域 的 基本 划分 

查看 网 络 上 承载 的 业务 系统 的 访问 终端 与 业务 主机 的 访问 关系 及 业务 主机 之 间 的 访 
问 关 系 。 硅 业务 主机 之 间 没 有 任何 访问 关系 , 则 单独 考虑 各 业务 系统 安全 域 的 划分 ; 奢 业 
务 主机 之 间 有 访问 关系 , 则 需要 将 几 个 业务 系统 同时 考虑 。 安 全 域 一 般 分 为 安全 计算 域 、 
安全 网 络 域 . 安 全 用 户 域 和 安全 支撑 域 ,如 图 2-6 所 示 。 


安全 计算 域 安全 网 络 域 安全 用 户 域 


多 终端 单 安 全 等 级 


安全 支撑 域 


图 2-6 ”安全 域 基本 划分 


24 


17 有 全 放生 若 

根据 业务 系统 的 业务 功能 实现 机 制 .保护 等 级 程度 进行 安全 计算 域 的 划分 ,一般 分 为 
核心 处 理 域 和 访问 域 , 其 中 数据 库 服 务 需 等 后 台 处 理 设 备 归 和 人 核心 处 理 域 ,前台 直 接 面 对 
用 户 的 应 用 服务 需 归 人 访问 域 。 局 域 网 的 访问 域 可 以 有 多 种 类 型 ,包括 开发 区 .测试 区 、 
数据 共享 区 .数据 交换 区 .第 三 方 维护 管理 区 、.VPN 接 人 区 等 ;局 域 网 的 核心 处 理 域 包括 
数据 库 、 安 全 控制 管理 .后 台 维 护 区 (网 管 工作 ) 等 ,核心 处 理 域 应 使 用 隔离 设备 对 该 区 域 
进行 安全 隅 离 , 如 防火 增 .路 由 器 (使 用 ACL) 交换 机 (使 用 VLAN) 等 。 

安全 计算 域 是 需要 进行 相同 安全 保护 的 主机 .服务 器 的 集合 。 安 全 计算 域 的 确定 与 
数据 的 分 布 密切 相关 。 不 同 数据 在 主机 、 服 务 硕 上 的 分 布 情 况 是 确定 安全 计算 域 的 基本 
依据 。 根 据 数 据 分 布 ,安全 计算 域 一 般 可 分 为 单 终 端 单 安全 等 级 计算 域 . 单 终端 多 安全 等 
级 计算 域 . 多 计算 终端 单 安 全 等 级 计算 域 和 多 终端 多 安全 等 级 计算 域 。 

2) 安全 网 络 域 

安全 网 络 域 是 由 连接 具有 相同 安全 等 级 的 安全 计算 域 和 安全 用 户 域 组 成 的 区 域 。 安 
全 网 络 域 的 安全 等 级 的 确定 与 网 络 所 连接 的 安全 用 户 域 和 安全 计算 域 的 安全 等 级 有 关 。 
安全 网 络 域 分 为 局 域 网 环境 和 广域网 环境 两 种 情况 。 在 局 域 网 环境 下 组 成 的 安全 网 络 域 
可 以 用 于 单一 计算 机 构成 的 安全 计算 域 之 间 的 连接 ,也 可 以 用 于 多 计算 机 构成 的 安全 计 
算 域 之 间 的 连接 。 对 于 后 一 种 情况 ,该 安全 网 络 域 实际 上 是 安全 计算 域 的 组 成 部 分 。 在 
广域网 环境 下 组 成 的 安全 网 络 域 用 于 远 地 的 安全 计算 域 之 间 、 安 全 计算 域 与 安全 用 户 域 
之 间 的 连接 。 安 全 网 络 域 是 逻辑 域 。 在 一 个 物理 的 网 络 环境 下 可 以 组 成 多 个 不 同 的 安全 
网 络 域 。 一 般 在 同一 网 络 内 划分 3 种 安全 域 : 外 部 域 、. 接 人 域内 部 域 。 

3) 安全 用 户 域 

安全 用 户 域 是 信息 系统 中 由 一 个 或 多 个 用 户 终 端 计算 机 组 成 的 存储 、 人 处 理 和 使 用 数 
据 信息 的 区 域 。 安 全 用 户 域 应 有 明确 的 边界 ,以 便 进 行 保 护 。 安 全 用 户 域 的 划分 应 以 用 
户 所 能 访问 的 计算 域 中 的 数据 信息 类 型 和 用 户 计 算 机 所 处 的 物理 位 置 来 确定 。 能 访问 同 
类 数据 信息 并 且 物 理 位 置 较 近 的 用 户 可 以 组 成 一 个 安全 用 户 域 ,以 便 进行 相同 级 别 的 安 
全 保护 。 安 全 用 户 域 的 安全 等 级 一 般 应 根据 该 安全 用 户 域 中 的 用 户 所 能 访问 的 安全 计算 
域 的 安全 等 级 确定 。 但 是 ,在 有 些 情 况 下 ,集中 管理 的 数据 被 分 散 存 放 时 ,其 安全 性 可 能 
会 降低 ,这 时 ,用 户 的 安全 等 级 就 可 能 低 于 其 所 能 访问 的 计算 域 的 安全 等 级 。 安 全 用 户 域 
的 划分 应 该 从 应 用 系统 的 实际 安全 需求 出 发 来 确定 。 安 全 用 户 域 一 般 分 为 管理 用 户 域 、 
内 部 用 户 域 外 部 用 户 域 。 

4) 安全 文 撑 域 

安全 文 撑 域 是 指 由 各 类 安全 产品 的 管理 平台 ,监控 中 心 、 维 护 终 疹 和 服务 硕 等 组 成 的 
区 域 , 它 实现 的 功能 包括 区 域内 的 身份 认证 .权限 控制 ,病毒 防护 、 补 丁 升级 、 各 类 安全 事 
件 的 收集 和 整理 ,关联 分 析 、 安 全 审计 、 入 侵 检 测 .漏洞 扫描 等 。 

2. 网 络 层次 划分 

按照 网 络 层 次 划分 安全 域 时 ,主要 以 网 络 所 处 的 位 置 作为 划分 依据 , 即 从 内 到 外 , 越 
接近 内 部 的 网 络 安全 要 求 等 级 越 高 , 越 接近 外 部 的 网 络 安 全 要 求 等 级 越 低 。 通 常 可 以 从 

25 


内 到 外 划分 为 4 个 层次 : 企业 内 网 .业务 专用 网 、 企 业 外 网 以 及 互联 网 。 

企业 内 网 是 企业 的 核心 网 络 ,拥有 最 高 的 安全 防护 等 级 ,企业 内 网 可 分 为 一 般 内 网 和 
内 部 涉 密 网 。 在 安全 防护 方面 ,一 般 内 网 建议 采用 商 密 设 备 , 内 部 涉 密 网 采用 普 密 设备 。 

业务 专用 网 是 企业 为 了 特殊 工作 需要 而 建设 的 专用 网 络 , 虽 然 采 用 了 一 部 分 互联 网 
技术 ,但 是 具有 较 高 的 安全 防护 等 级 , 接 人 人 员 、 接 人 地 点 和 接 人 方式 等 都 必须 受到 严格 
限制 ,网 络 拓 扑 结 构 稳 定 、 业 务 专 一 。 业 务 专 用 网 最 大 的 安全 威胁 来 日 越权 访问 及 信息 洪 
器 ,因此 业务 专用 网 络 必须 与 其 他 网 络 进行 逻辑 隔离 。 

企业 外 网 是 与 公共 网 络 建立 连接 的 区 域 , 安 全 防护 等 级 要 求 较 低 。 在 接 入 互联 网 时 ， 
企业 外 网 应 尽量 不 传输 敏感 信息 ,采取 一 定 的 逻辑 隔离 措施 ,对 加 密 通 道 采用 商 密 设 备 。 

互联 网 是 直接 连接 到 开放 网 络 空间 的 安全 区 域 , 用 于 日 常 的 互联 网 业务 ,其 安全 防护 
等 级 要 求 最 低 。 

典型 的 企业 信息 系统 层次 划分 如 图 2-7 所 示 。 


内 部 涉 密 网 
LL_ _ 


| a 
Ws 用 网 | 


图 2-7 ”典型 企业 信息 网 络 系统 层次 划分 


在 图 2-7 中 ,企业 内 网 可 以 分 为 一 般 内 网 和 内 部 涉 密 网 ,都 是 企业 内 部 的 高 安全 等 级 
的 网 络 环境 ,应 当 与 其 他 网 络 物理 隔离 ,加 密 设 备 采 用 普 密 标准 ,内 部 涉 密 网 应 该 比 一 般 
内 了 网 采用 更 加 严格 的 加 密 撒 施 , 如 增加 密 钥 长 度 等 ,还 应 加 强人 员 安 全 管理 ,制定 更 加 严 
格 的 安全 管理 制度 。 

企业 外 网 和 业务 专用 网 都 需要 连接 到 互联 网 进行 业务 活动 。 二 者 属于 不 同 的 安全 等 
级 ,应 该 逻辑 隔离 ,并 采取 不 同 的 安全 措施 ,如 业务 专用 网 采用 商 密 标准 的 加 密 设备 ,并 有 
专用 的 网 络 传输 通道 。 企 业 外 网 相对 于 其 他 网 络 层次 而 言 安 全 等 级 要 求 较 低 ,但 与 互联 
网 之 间 仍 需要 逻辑 隔离 ,对 于 企业 外 网 需要 加 密 通 信 的 数据 也 要 采用 商 密 标准 的 加 密 设 
备 进 行 加 密 。 

互联 网 是 企业 最 外 层 的 网 络 ,用 户 或 其 他 企业 客户 通过 互联 网 与 企业 建立 连接 。 这 
个 网 络 层次 通常 采用 网 络 安全 技术 中 较为 通用 的 加 密 体 制 , 保 证 通信 基本 安全 。 


2.2.3 安全 标准 参照 


1. 防护 定 级 
对 企业 信息 系统 进行 安全 定 级 是 安全 防护 工作 的 首要 环节 ,是 展开 企业 信息 系统 安 
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全 防护 体系 建设 的 重要 基础 。 企 业 信息 系统 的 防护 对 象 主要 分 为 业务 信息 与 系统 服务 两 
个 方面 。 防 护 定 级 时 ,首先 从 定 级 对 象 人 于 ,确定 待定 级 的 关键 对 象 ,包括 物理 设备 、 操 作 
系统 .业务 与 系统 应 用 、 网 络 通信 数据库 与 数据 内 容 等 。 其 次 ,要 确定 在 待定 级 对 象 受到 
破坏 时 可 能 被 侵害 的 客体 ,主要 人 研 究 .分 析 对 国家 和 社会 等 造成 的 侵害 。 在 确定 了 定 级 对 
象 以 及 被 侵害 的 客体 之 后 ,就 可 以 综合 评定 当 企 业 信 息 系 统 中 的 杀 一 对 象 受 到 破坏 时 对 
被 侵害 客体 造成 的 侵害 程度 ,参照 安全 标准 ,确定 业务 信息 安全 等 级 以 及 系统 服务 安全 等 
级 。 最 终 以 二 者 之 中 安全 等 级 要 求 较 噩 的 一 项 作为 定 级 对 象 的 最 终 安全 等 级 。 
防护 定 级 的 基本 方法 如 图 2-8 所 示 。 


确定 定 级 对 象 “| 


确定 业务 信息 安全 受到 破坏 时 确定 系统 服务 安全 受到 破坏 时 
所 侵害 的 客体 所 侵害 的 客体 


综合 评定 对 客体 的 侵害 程度 


业务 信息 安全 等 级 系统 


定 级 对 象 的 安全 保护 等 级 


图 2-8 防护 定 级 基本 方法 


信息 系统 的 安全 保护 等 级 由 两 个 定 级 要 系 决定 : 定 级 对 象 受 到 破坏 时 所 侵害 的 客体 
和 对 客体 造成 侵害 的 程度 。 

定 级 对 象 受 到 破坏 时 所 侵害 的 客体 包括 以 下 3 个 方面 : 第 一 是 公民 ,法 人 和 其 他 组 
织 的 合法 权益 ;第 二 是 社会 秩序 、 公 共 利 益 ; 第 三 是 国家 安全 。 

对 客体 的 侵害 程度 由 客观 方面 的 不 同 外 在 表现 综合 决定 。 由 于 对 客体 的 侵害 是 通过 
对 定 级 对 和 象 的 破坏 实现 的 ,因此 ,对 客体 的 侵害 表现 为 对 等 级 你 护 对 象 的 令 坏 ,通过 危害 
方式 ,危害 后 未 和 和 危害 程度 加 以 描述 。 定 级 对 象 受 到 破坏 后 对 客体 造成 侵害 的 程度 归结 
为 以 下 3 种 : 第 一 种 是 造成 一 般 损 害 ; 第 二 种 是 造成 严重 损害 ;第 三 种 是 造成 特别 严重 

定 级 要 系 与 信息 系统 安全 保护 等 级 的 关系 如 表 2-1 所 示 。 

表 2-1 定 级 要 素 与 信息 系统 安全 保护 等 级 的 关系 


业务 信息 /系统 服务 安全 被 对 答 体 的 侵害 程度 
破坏 时 受 侵害 的 客体 特别 严重 损害 
公民 .法 人 和 其 他 组 织 的 合法 权益 | 第 一 级 (自主 保护 ) | 第 二 级 (指导 保护 ) | 第 二 级 (指导 保护 ) 
社会 秩序 、 公 共 利 益 第 二 级 (指导 保护 ) | 第 三 级 (监督 保护 ) | 第 四 级 (强制 保护 ) 
国家 安全 第 三 级 (监督 保护 ) | 第 四 级 (强制 保护 ) | 第 五 级 ( 专 控 保护 ) 


信息 系统 安全 包括 业务 信息 安全 和 系统 服务 安全 ,与 之 相关 的 受 侵 害 客 体 和 对 客体 
之 


网 络 安 全 


et 
got 


的 侵害 程度 可 能 不 同 。 因 此 ,信息 系统 防护 定 级 也 应 由 业务 信息 安全 和 系统 服务 安全 两 
方面 确定 。 防 护 定 级 的 一 般 流程 如 下 . 

(1) 确定 定 级 对 象 。 一 个 单位 内 运行 的 信息 系统 可 能 比较 庞大 ,为 体现 “重要 部 分 重 
点 保护 ,有 效 控制 信息 安全 建设 成 本 ,优化 信息 安全 资源 配置 ?的 等 级 保护 原则 ,可 将 较 大 
的 信息 系统 划分 为 知 干 个 较 小 的 .可 能 具有 不 同安 全 保护 等 级 的 定 级 对 象 。 定 级 对 旬 通 
党 具有 以 下 基本 特征 : 有 唯一 确定 的 安全 责任 单位 ,包含 信息 系统 的 基本 要 率 , 承 载 单一 
或 相对 独立 的 业务 应 用 ,等 等 。 

(2) 确定 受 侵 害 的 客体 。 定 级 对 象 受 到 破坏 时 所 侵害 的 客体 包括 : 中 国家 安全 ; 
四 社会 秩序 .公众 利益 ; 加 公民 .法 人 和 其 他 组 织 的 合法 权益 。 确 定 作 为 定 级 对 象 的 信息 
系统 受到 破坏 后 所 侵害 的 客体 时 ,应 首先 判断 是 否 侵害 国家 安全 ,然后 判断 是 否 侵害 社会 
秩序 或 公众 利益 ,最 后 判断 是 否 侵 害 公 民 .法 人 和 其 他 组 织 的 合法 权益 。 

各 行业 可 根据 本 行业 业务 特点 ,分 析 各 类 信息 和 各 类 信息 系统 与 上 述 3 个 客体 的 关 
系 , 从 而 确定 本 行业 各 类 信息 和 各 类 信息 系统 受到 破坏 时 所 侵害 的 客体 。 

(3) 确定 对 客体 的 侵害 程度 。 对 客体 的 侵害 表现 为 对 定 级 对 象 的 破坏 ,其 危害 方式 
表现 为 对 业务 信息 安全 的 破坏 和 对 系统 服务 安全 的 破坏 ,其 中 ,业务 信息 安全 是 指 确保 信 
息 系统 内 业务 信息 的 保密 性 .完整 性 和 可 用 性 等 ,系统 服务 安全 是 指 确保 信息 系统 可 以 及 
时 .有效 地 提供 服务 来 完成 预定 的 业务 目标 。 由 于 业务 信息 安全 和 系统 服务 安全 受到 破 
坏 时 对 客体 的 侵害 程度 可 能 会 有 所 不 同 , 在 定 级 过 程 中 ,需要 分 别处 理 这 两 种 危害 方式 。 
业务 信息 安全 和 系统 服务 安全 受到 破坏 后 ,可 能 产生 诸多 和 危害 后 果 , 如 影响 行使 工作 职 
能 、 导致 业 务 能 力 下 降 .引起 法 律 纠纷 . 导致 财产 损失 ,造成 社会 不 恨 影响 \ 对 其 他 组 织 和 
个 人 造成 损失 等 。 

侵害 程度 是 不 同 外 在 表现 的 综合 体现 ,因此 ,应 首先 根据 不 同 的 受 侵害 客体 ,不 同 危 
害 后 果 分 别 确定 侵害 程度 。 对 不 同 危 害 后 果 确 定 侵 害 程度 所 采取 的 方法 和 所 考虑 的 角度 
可 能 不 同 。 例 如 ,系统 服务 安全 被 破坏 导致 业务 能 力 下 降 的 程度 ,可 以 从 信息 系统 服务 覆 
六 的 区 域 范 围 . 用 户 人 数 或 业务 量 等 方面 确定 ,业务 信息 安全 被 破坏 导致 的 财物 损失 可 以 
从 直接 的 资金 损失 大 小 .间接 的 信息 恢复 费用 等 方面 确定 。 

(4) 确定 定 级 对 象 的 安全 保护 等 级 。 依 据 表 2-1 ,得 到 业务 信息 和 系统 服务 的 安全 保 
护 等 级 ,将 业务 信息 安全 保护 等 级 和 系统 服务 安全 保护 等 级 的 较 高 者 确定 为 定 级 对 象 的 
安全 保护 等 级 。 


2. 安全 控制 点 与 控制 要 求 分 析 

如 果 通 过 控制 企业 信息 系统 组 成 的 某 一 方面 ,能 够 使 某 一 危害 系统 安全 的 因素 得 到 
项 防 、 消 除 或 降低 到 可 以 接受 的 水 平 , 则 称 这 个 方面 为 安全 控制 点 。 设 定安 全 控制 点 ,可 
以 有 效 地 预防 系统 设备 故障 的 出 现 , 保 证 安全 性 。 根 据 各 个 安全 控制 点 的 复杂 性 ,可 以 在 
安全 控制 点 下 设 定 具 体 、 详 细 的 子 项 , 称 之 为 安全 控制 项 。 以 下 列举 14 个 典型 的 安全 控 
制 点 及 其 控制 要 求 。 

(1) 身份 鉴别 。 为 确保 系统 的 安全 ,只 有 通过 身份 鉴别 的 用 户 才能 被 赋予 相应 的 权 
限 ,并 在 规定 的 权限 内 操作 。 系 统 中 的 用 户 名 和 用 户 标识 符 应 具有 唯一 性 和 可 区 别 性 ,在 
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主机 系统 的 整个 生命 周期 内 都 有 效 。 

(2) 访问 控制 。 针 对 每 个 用 户 设 定 ,通过 限制 使 只 有 授权 用 户 才 可 以 访问 指定 资源 ， 
加 强 用 户 访问 系统 资源 及 服务 时 的 安全 控制 ,以 防 非 授 权 用 户 访 问 和 授权 用 户 违 规 访问 。 
访问 控制 包括 自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 等 类 型 。 

(3) 可 信和 路 径 。 主 机 系统 的 可 信和 路 径 是 指 在 用 户 与 内 核 之 间 下 接 的 、 可 信任 的 信息 
传输 通路 ,该 通路 能 防止 攻击 者 介入 通信 过 程 ,预防 重要 信息 被 窃取 和 盗用 ,防止 重要 信 
息 在 不 可 信 路 径 上 传输 。 

(4) 恶意 代码 防范 。 在 互联 网 时 代 , 主 机 软件 及 硬件 资源 遭受 晋 意 程 序 威胁 的 可 能 
性 加 大 ,应 设 定 恶 意 代码 防范 规则 ,分 析 主 机 中 安装 的 防范 产品 和 采用 的 恶意 代码 管理 措 
施 的 完善 性 ,确保 用 户 使 用 信息 资源 的 安全 性 。 亚 意 代 码 防 范 措 施主 要 包括 基于 特征 的 
扫描 技术 . 校 验 和 、 沙 箱 技术 和 安全 操作 系统 对 亚 意 代码 的 防范 等 。 主 机 端 驻 留 进程 采用 
进程 保护 .进程 隐 疙 等 技术 ,可 以 有 效 防 止 恶 意 的 删除 .终止 等 行为 。 

(5) 资源 控制 。 计 算 机 资源 通常 包括 中 央 处 理 器 存储器、 外 部 设备 、 信 息 ( 包 括 程序 
和 数据 ) 与 服务 等 。 为 保证 这 些 资 源 有 效 共 享 和 充分 利用 ,操作 系统 必须 对 资源 的 使 用 进 
行 控制 ,包括 限制 最 大 并 发 会 话 连接 数 .单个 用 户 的 多 重 并 发 会 话 .单个 用 户 对 系统 资源 
的 最 大 和 最 小 使 用 限度 .登录 终端 的 操作 超时 或 身份 鉴别 失败 时 的 账号 锁定 等 ,对 资源 的 
使 用 .变动 和 终端 接 人 范围 等 进行 控制 。 

(6) 安全 审计 。 通 过 创建 和 维护 受 保护 客体 的 访问 审计 跟 踊 记 录 , 阻 止 非 授 权 用 户 
的 访问 或 破坏 ,对 非法 用 户 起 到 威慑 作用 。 每 一 事件 的 审计 记录 包括 : 事件 日 期 和 时 间 、 
用 户 .事件 类 型 .事件 是 否 成 功 、 请 求 的 来 源 、 客 体 引 入 用 户 地 址 空间 的 事件 及 客体 删除 事 
件 时 的 客体 名 (例如 打开 文件 、 程 序 初始 化 ) 及 客体 的 安全 级 别 、 系 统管 理 员 实 施 的 动作 以 
及 其 他 与 系统 安全 有 关 的 事件 。 

(7) 剩余 信息 保护 。 用 户 在 计算 机 上 删除 .安装 软件 或 者 存储 、 删除 信息 后 仍 会 留 下 
一 些 剩 余 信 息 , 有 可 能 成 为 恶意 攻击 的 源头 ,因此 应 该 对 在 主机 上 保留 的 所 有 与 安全 系统 
管理 有 关 的 用 户 信 息 、 系统 文件 .本 地 日 志 等 内 容 在 存储 过 程 中 采用 高 强度 的 加 密 算 法 ， 
同时 在 相关 数据 删除 后 ,对 原 有 信息 的 存储 空间 进行 特殊 格式 化 处 理 , 以 规避 数据 还 原 技 
术 带 来 的 安全 风险 。 

(8) 通信 保密 性 。 传 输 用 户 保 密 信息 或 财政 信息 时 ,应 确保 数据 处 于 保密 状态 。 

(9) 入 侵 防 范 。 补 充 检 测 那 些 出 现在 授权 的 数据 流 或 其 他 遗漏 的 数据 流 中 的 入 侵 行 
为 ,应 在 遭受 入 侵 之 前 采取 相应 措施 ,例如 是 否 安装 杀毒 软件 .防火 墙 及 其 他 相应 防护 设 
备 等 。 

(10) 安全 标记 。 维 护 与 可 被 外 部 主体 直接 或 间接 访问 的 计算 机 信息 系统 资源 相关 
的 敏感 标记 ,以 进行 不 安全 事件 的 追踪 。 

(11) 数据 完整 性 。 对 计算 机 信息 系统 中 存储 ,传输 和 人 处理 过 程 中 的 信息 采取 有 效 措 
施 , 防 止 其 遭受 非 授 权 用 户 的 修改 破坏 或 删除 ,以 确保 数据 的 完整 性 。 

(12) 隐蔽 信道 分 析 。 为 保证 安全 性 ,有 些 文件 或 程序 可 能 被 相应 策略 隐藏 ,但 这 种 
策略 也 可 能 被 怀 有 恶意 的 攻击 者 用 来 建立 隐蔽 的 信息 传输 通道 ,以 实现 入 取信 息 的 目的 。 
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应 仿照 实际 测量 和 工程 估算 方法 ,分 析 系 统 中 存在 的 隐蔽 信道 ,并 采取 相应 措施 进行 

(13) 可 信 恢 复 。 用 户 在 删除 或 修改 信息 后 ,有 时 又 发 现 其 价 全, 需要 恢复 信息 ,例如 
对 系统 的 设置 或 用 户 策 略 的 设置 等 。 应 提供 过 程 和 机 制 , 保 证 主机 系统 失效 或 中 断后 ,可 
以 进行 不 损害 任何 安全 保护 性 能 的 恢复 。 

(14) 客体 重用 。 这 里 的 客体 包括 存放 信息 的 介质 ,如 内 和 存 、. 外 存 . 可 探 写 光 盘 以 及 寄 
仓 从 .局 速 缓存 禹 等 可 庶 与 设备 ,这 些 存 储 介 质 作 为 质 源 被 动态 分 配 时 和 回收 时 应 确保 其 
曾经 存储 的 信息 不 因 这 种 动态 分 配 和 回收 而 遭 泄 露 。 例 如 ,可 以 采取 特别 的 信息 探 除 于 
段 进行 残留 信息 的 清除 。 


2.2.4 安全 风险 评估 


安全 风险 评估 是 针对 企业 信息 系统 及 其 运行 的 服务 ,根据 系统 外 部 攻击 数据 及 其 自 
映 的 脆弱 性 对 网 络 资产 所 造成 的 影响 ,综合 分 析 企 业 信息 系统 各 个 环节 的 安全 性 ,从 而 评 
估 整 个 系统 的 安全 性 。 通 过 了 解 系统 目前 的 风险 ,评估 风险 可 能 带 来 的 安全 威胁 与 影响 
程度 ,从 而 将 系统 的 风险 降低 到 可 接受 的 程度 ,为 降低 网 络 的 风险 ,实施 风险 管理 提供 下 
接 的 依据 。 

安全 风险 评估 可 以 通过 把 其 评估 步骤 与 网 络 攻击 的 步骤 对 应 起 来 ,从 而 达到 防止 网 
络 受 到 攻击 的 目的 。 网 络 攻击 一 般 是 由 远程 信息 收集 、 数 据 分 析 、 远 程 攻击 、 本 地 攻击 本 
地 信息 收集 等 儿 个 步骤 组 成 的 ,而 安全 风险 评估 是 一 个 数据 采集 .数据 处 理 和 数据 分 析 的 
过 程 。 

安全 风险 评估 流程 主要 包括 以 下 几 个 步骤 : 

(1) 风险 评估 前 的 准备 。 主 要 是 弄 清 系统 情况 ,确定 评估 的 对 象 ,为 数据 分 析 阶 段 提 
供 评估 的 数据 对 象 。 

(2) 找 出 系统 脆弱 性 。 利 用 脆弱 性 扫描 需 找 出 网 络 各 主机 节点 可 能 存在 的 脆弱 性 。 

(3) 找 出 系统 面临 的 威胁 。 根 据 网 络 主机 节点 可 达 关 系 、 自身 的 脆弱 性 、 攻 击 对 脆弱 
性 的 利用 规则 生成 状态 攻防 图 ,发现 系统 存在 的 攻击 行为 。 

(4) 计算 攻击 成 功 发 生 的 可 能 性 。 根 据 脆 弱 性 存在 的 可 信和 度 和 被 利用 的 难 易 程度 来 
计算 攻击 成 功 发 生 的 可 能 性 。 

(5) 计算 安全 损失 。 根 据 脆弱 性 对 资产 的 潜在 危害 程度 和 攻击 发 生 后 对 资产 的 危害 
程度 来 计算 其 对 网 络 资产 造成 的 损失 。 

(6) 量化 安全 风险 ,根据 脆弱 性 的 存在 可 信和 度 、 脆 弱 性 的 严重 程度 ,安全 事件 发 生 的 
可 能 性 以 及 对 网 络 资产 所 造成 的 损失 ,来 计算 攻击 一 旦 发 生 时 对 评估 对 象 所 造成 的 影响 ， 
以 此 来 量化 主机 节点 的 风险 值 。 进 一 步 结 合 网 络 中 各 主机 节点 自身 的 权重 ,可 评估 整个 
网 络 的 风险 值 。 

1. 系统 资产 管理 

资产 管理 的 主要 目的 是 识别 现 有 资产 ,同时 确认 资产 的 价值 。 在 安全 防护 范围 和 边 
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界 内 的 每 一 项 资产 都 应 该 被 识别 和 评价 。 资 产 识 别 是 风险 评估 的 必要 环节 ,主要 任务 是 
对 确定 的 评估 对 象 所 涉及 或 包含 的 资产 进行 详细 的 标识 。 由 于 资产 以 多 种 形式 存在 , 包 
括 无 形 和 有 形 的 ,在 资产 识别 过 程 中 ,要 特别 注意 不 要 遗漏 无 形 资 产 。 同 时 ,还 应 注意 不 
同 资产 之 间 的 相互 依赖 关系 ,关联 紧密 的 资产 可 以 作为 一 个 整体 来 考虑 ,同一 个 类 型 的 资 
产 也 应 该 放 在 一 起 考虑 。 资 产 识别 通过 资产 调查 和 现场 访谈 进行 ,形成 资产 列表 。 采 集 
工作 在 前 期 调研 的 基础 上 开展 ,以 调研 所 得 的 资产 列表 为 依据 ,对 所 有 与 信息 系统 有 关 的 
信息 资产 进行 核查 。 资 产 管理 工作 如 图 2-9 所 示 。 


资产 风险 识别 


/ 
| 加 固 方案 实施 | 


加 固 方案 指导 


图 2-9 资产 管理 


在 资产 管理 工作 中 ,主要 通过 日 动 及 手动 识别 等 多 种 方式 识别 出 多 种 类 型 的 资产 ,如 
PC 移动 设备 、 服 务 屁 等 资产 类 型 ,并 在 此 基础 上 评估 资产 安全 因素 ,分 析 资 产 受 攻击 的 
可 能 性 .危害 程度 .攻击 范围 及 防护 难度 。 针 对 易 受 攻击 的 系统 及 应 用 软件 进行 报警 分 析 
和 报表 分 析 等 ,让 用 户 实 时 了 解 当前 网 络 资产 宽 源 的 脆 异 度 , 勾 勒 脆弱 度 全 景 图 ,并 有 人 科 
对 性 地 实施 漏洞 填补 、 升 级 补丁 .防火 增 案 略 .访问 控制 .流量 监控 等 安全 措施 ,从 而 防范 
潜在 入 侵 攻击 的 发 生 。 

资产 识别 的 主要 内 容 是 识别 每 一 项 资产 的 所 有 者 、 负 责 人 和 使 用 者 以 及 建立 资产 清 
单 。 可 以 根据 业务 流程 来 识别 信息 系统 质 产 。 

信息 系统 竣 产 的 存在 形式 ,主要 有 以 下 几 种 . 

(1) 数据 资产 。 储 于 电子 介质 中 的 各 种 数据 和 资料 ,包括 源 代 人 码 、 数 据 文件 和 系统 文 
件 年 ,也 包括 政 抹 文件 ,合同 、 束 上 略 方 针 和 商业 结 来 等 文档 。 

(2) 软件 资产 。 包 括 应 用 软件 、 系 统 软件 .开发 工具 和 公共 程序 等 。 

(3) 实物 资产 。 包 括 计算 机 和 通信 设备 、 磁 介质 .电源 空调、 家具、 机 房 和 办 公 楼 等 
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(4) 服务 资产 。 包 括 计 算 服 务 、 存 储 服务 、 通 信服 务 和 制冷 .照明 、 水 电 、UPS 等 基础 
设施 服务 。 

资产 的 安全 特性 综合 评定 一 般 分 为 5 个 级 别 ,分 别 为 很 高 .高 、 中 等 、 低 和 很 低 ,如 
表 2-2 所 未 。 


表 2-2 资产 安全 特性 综合 评定 级 别 


级 别 a 
很 高 非常 重要 ,其 安全 属性 被 破坏 后 可 能 对 组 织造 成 非常 严重 的 损失 

高 重要 ,其 安全 属性 被 破坏 后 可 能 对 组 织造 成 严重 的 损失 

中 等 比较 重要 ,其 安全 属性 被 破坏 后 可 能 对 组 织造 成 中 等 程度 的 损失 

低 不 太 重 要 ,其 安全 属性 被 破坏 后 可 能 对 组 织造 成 较 低 的 损失 

很 低 不 重要 ,其 安全 属性 被 破坏 后 可 能 对 组 织造 成 很 小 甚至 忽略 不 计 的 损失 


2. 脆弱 性 识别 

脆弱 性 是 因 计 算 机 系统 、 网 络 系统 或 者 网 络 安全 系统 在 便 件 .软件 或 者 安全 宋 略 上 的 
错误 而 引起 的 缺陷 ,是 违 育 安全 策略 的 软件 或 便 件 特征 。 造 成 网 络 安 全 问题 最 根本 的 原 
因 是 网 络 系统 内 部 具有 脆弱 性 。 网 络 脆 弱 性 古 指 网 络 环境 中 存在 的 可 被 外 部 因 系 利用 进 


而 对 网 络 环 境 构 成 威胁 的 弱点 或 峡 陷 。 网 络 脆弱 性 的 存在 是 网 络 攻击 发 生 的 前 提 , 任 何 
攻击 方法 都 是 利用 系统 存在 的 缺陷 或 脆弱 性 而 实施 的 。 0 


路 由 带 、 交 换 机 、 服 务 需 .主机 和 防火 墙 等 设备 ,每 个 设备 内 部 都 可 能 存在 脆弱 性 ,这 些 及 
ernie ws dtr tans etatge wdbipa sp ehoig te H 
能 的 。 

脆弱 性 识别 主要 从 拉 术 和 管理 两 个 方面 进行 ,技术 脐 弱 性 涉及 物理 层 、 网 络 层 .主机 
层 . 应 用 层 与 数据 层 等 安全 问题 ,管理 脆弱 性 主要 分 为 技术 家 再 和 组 织 旨 理 两 个 方面 。 

资产 的 脆弱 性 通 篆 具有 隐蔽 性 ,有些 脆弱 性 只 在 一 定 的 条 件 和 环境 下 才能 显现 ,这 是 
脆弱 性 中 最 难 识别 的 部 分 。 需 要 特别 注意 的 是 ,不 正确 的 .起 不 到 应 有 作用 的 或 者 没有 正 
确实 施 的 安全 措施 本 身 也 是 脆弱 性 之 一 。 脆 弱 性 识别 所 采用 的 方法 主要 有 问卷 调查 、 工 
具 检 测 .人 工 核查 文档 查阅 和 渗透 测试 等 。 

安全 事件 的 影 啊 与 脆弱 性 被 利用 后 对 资产 的 损害 程度 密切 相关 ,而 安全 事件 发 生 的 
可 能 性 与 脆弱 性 被 利用 的 可 能 性 有 关 , 又 与 脆弱 性 利用 技术 实现 难 易 程度 和 脆弱 性 的 流 
行程 度 有 关 。 脆 绚 性 评 佑 束 是 对 脆弱 性 被 利用 后 对 资产 的 损害 程度 .利用 技术 实现 难 易 
程度 .弱点 流行 程度 的 评 佑 ,其 结果 一 般 是 以 定性 的 等 级 划分 形式 红 合 标识 脆 弦 性 的 严重 
程度 。 如 果 多 个 脆弱 性 反映 的 是 同一 个 方面 的 安全 问题 ,应 该 综合 考虑 这 些 脆弱 性 ,最 终 
确定 严重 程度 。 按 照 4 信 息 安 全 风险 评 佑 指南 》 的 规定 ,根据 脆弱 性 被 利用 后 对 资产 造成 
的 危害 程度 将 脆弱 性 严重 程度 划分 为 5 级, 分别 代表 资产 脆弱 性 严重 程度 的 高 低 , 如 表 2-3 
所 示 。 
Ms 
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表 2-3 脆弱 性 严重 程度 分 级 


级 别 描 述 

很 高 如 果 被 威胁 利用 ,将 对 资产 造成 完全 损害 

高 如 果 被 威胁 利用 ,将 对 资产 造成 重大 损害 

中 如 果 被 威胁 利用 ,将 对 资产 造成 一 般 损 害 

低 如 果 被 威胁 利用 ,将 对 资产 造成 较 小 损害 

很 低 如 果 被 威胁 利用 ,将 对 资产 造成 微小 损害 ,可 以 忽略 


3. 威胁 识别 

威胁 主体 可 以 利用 脆弱 性 对 资产 造成 伤害 。 按 照 《 信 息 安 全 技术 信息 安全 风险 评估 
规范 中 的 威胁 分 类 方法 ,威胁 主要 分 为 软 人 硬件 故障 、 物 理 环 境 有 影响、 无 作为 或 操作 失误 、 
管理 不 到 位 、 恶 意 代 码 ,越权 或 滥用 、 网 络 攻击 ,物理 攻击 、 泄 密 、 算 改 、 抵 赖 11 类 。 从 威胁 
源 ( 威 胁 主 体 ) 角 度 来 分 析 ,威胁 又 可 以 分 为 目 然 威胁 、 环 境 威 胁 、 系统 威 胁 、 外 部 人 员 威 胁 
和 内 部 人 员 威 胁 。 不 同 的 威胁 源 能 够 造成 不 同形 式 的 危害 。 

一 般 ,根据 威胁 的 起 因 ,表现 和 后 果 的 不 同 , 可 将 威胁 分 为 以 下 6 种 : 

(1) 恶意 代码 。 指 插入 到 信息 系统 中 的 一 段 程序 ,危害 系统 中 数据 、 应 用 程序 或 操作 
系统 的 保密 性 ,完整 性 或 可 用 性 ,或 影响 信息 系统 的 正常 运行 。 恶意 代码 包括 计算 机 病 
毒 、 蜂 虫 ,特洛伊 木马 \ 公 己 网络、 混合 攻击 程序 、 网 页 内 骸 恶 意 代 码 秆 。 

(2) 网 络 攻击 。 指 通过 网 络 或 其 他 手段 ,利用 信息 系统 的 配置 献 陷 . 协 议 缺 陷 、 程 序 
缺陷 或 使 用 骏 力 攻击 对 信息 系统 实施 攻击 ,并 造成 信息 系统 异 稼 或 对 信息 系统 当前 运行 
造成 潜在 危害 。 网 络 攻 击 包 括 拒 绝 服务 攻 击 、 后 门 攻击 漏洞 攻击 、 网络 扫 摘 盆 听 .网络 钓 
鱼 .干扰 等 。 

(3) 信息 破坏 。 是 指 通过 网 络 或 其 他 技术 手段 使 信息 系统 中 的 信息 遭 到 破坏 。 信 息 
破坏 包括 信息 算 改 .信息 假冒 .信息 泄露 .信息 千 取 、 信 息 丢 失 等 。 

(4) 信息 内 容 攻击 。 指 利用 信息 网 络 发 布 、 传播 危害 国家 安全 .社会 稳定 和 公共 利益 
以 及 企业 和 个 人 利益 的 内 容 。 

(5) 设备 设施 故障 。 指 由 于 信息 系统 利 身 故障 .外 围 保 障 设 施 故 障 或 人 为 破坏 等 原 
因 ,造成 信息 系统 异常 或 对 信息 系统 当前 运行 造成 潜在 人 危害。 设备 设施 故障 包括 软 人 硬件 
日 喘 故 障 、 外 围 保障 设施 故障 、 人 为 破坏 等 。 

(6) 灾害 性 破坏 。 指 由 于 不 可 抗力 对 信息 系统 造成 物理 破坏 。 灾 害 性 破坏 包括 水 
灾 台风、 地 震 、 和 雷击 . 南 场 .火灾 、 妃 怖 袭击 .战争 等 。 

计算 机 网 络 发 展 到 今天 ,对 于 传统 威胁 的 防范 已 经 取得 了 一 定 的 成 效 ;与 此 同时 ,新 
的 威胁 逐渐 地 成 为 主流 。 当 前 的 网 络 安全 环境 下 威胁 与 防护 手段 的 全 景 图 如 图 2-10 
所 示 。 

现在 的 网 络 安全 威胁 更 具有 组 织 性 ,攻击 能 力 更 强 , 人 破坏 性 更 大 。 威 胁 的 来 源 不 再 仅 
仅 是 个 体 攻击 者 或 者 其 他 单一 的 来 源 ,而 是 已 经 进化 到 了 更 高 的 层次 ,主要 表现 为 来 自 其 
他 国家 的 威胁 、 网 络 攻 击 军团 、 网 络 犯罪 组 织 以 及 内 部 威胁 等 。 
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网 络 罪犯 组 织 
图 2-10 威胁 与 防护 手段 全 景 图 


威胁 的 类 型 也 发 生 了 变化 ,主要 包括 分 布 式 拒绝 服务 攻击 (DDoS) .高 级 持续 威胁 
(APT) .高 级 恶意 软件 .勒索 和 其 诈 .数据 入 取 、 定 回 攻 击 以 及 0Day 漏洞 攻击 等 。 对 于 这 
些 新 型 的 和 高 级 的 网 络 安全 威胁 ,传统 的 防御 技术 和 手段 将 难以 发 挥 作用 ,新 的 体系 架构 
以 及 安全 技术 (如 下 一 代 防 火 墙 和 机 器 学 习 技 术 等 ) 必 然 成 为 主导 。 

威胁 评估 是 对 风险 产生 途径 性 质 的 评估 ,应 准确 识别 威胁 的 性 质 与 特征 ,对 系统 安全 
的 威胁 进行 标识 ,定期 对 威胁 进行 监视 ,以 保证 风险 管理 与 评定 的 效果 。 威 胁 识别 的 主要 
内 容 如 下 : 

(1) 识别 自然 威胁 。 自 然 威胁 包括 地 震 海啸 .台风 .火山 .洪水 等 日 然 灾害 。 除 了 将 
自然 灾害 造成 的 威胁 计 人 其 中 ,还 要 将 因 客 观 实际 情况 而 导致 的 非 人 为 的 偶然 事件 也 计 
入 其中。 目 然 威胁 需要 根据 评 佑 目标 所 在 位 置 的 地 理 因 素来 进行 识别 ,对 于 非 地 震 刘 内 
陆 、 山 区 .干旱 地 区 等 地 理 因 素 进 行 充分 的 识别 ,避免 评估 中 的 偏差 。 

(2) 识别 人 为 威胁 。 监 视 各 种 人 为 威胁 及 其 特征 的 变化 趋势 并 作出 预测 ,以 防范 人 
为 原因 引起 的 威胁 。 人 为 威胁 基本 上 有 两 种 类 型 : 一 是 由 偶然 原因 引起 的 威胁 :二 是 由 
故意 行为 引起 的 威胁 。 某 些 人 为 威胁 在 目标 环境 中 并 不 适用 ,这 些 应 在 分 析 中 通过 进 一 
步 的 思考 予以 排除 。 

(3) 识别 威胁 的 测量 尺度 。 威 胁 的 测量 尺度 应 根据 不 同情 况 进行 取舍 。 测 量 方 法 一 
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般 分 为 定量 测量 和 定性 测量 。 和 定量 测量 法 适用 于 资产 数据 评价 能 够 清晰 并 准确 地 建立 经 
济 指标 的 情况 ;而 定性 测量 方法 使 用 得 比较 普 这 ,首选 确定 定性 测量 中 的 最 大 尺度 和 最 小 
尺度 ,再 根据 尺度 的 区 间 划 分 等 级 ,对 于 不 同等 级 的 测量 标准 应 事先 予以 定义 。 

(4) 评估 威胁 影响 效果 。 威 胁 影响 效果 要 从 威胁 来 源 、 威 胁 动机 和 威胁 造成 的 结果 3 
个 方面 进行 评估 ,威胁 来 源 用 以 确定 威胁 的 源头 ,人 为 故意 威胁 来 源 为 攻击 者 ,而 不 同 威 
胁 来 源 因 不 同 动机 和 客观 原因 而 导致 攻击 能 力 有 差异 。 威 胁 动 机 与 威胁 来 源 上 具有 必然 的 
联系 。 威 胁 动机 和 威胁 造成 的 后 果 有 下 接 的 关系 ,但 不 是 必然 的 关系 ,不 同 威胁 造成 的 后 
果 不 仅 需要 根据 威胁 源头 和 威胁 动机 来 确定 ,还 需要 根据 资产 的 价值 和 重要 性 来 确定 。 

(5) 评估 威胁 的 可 能 性 。 威 胁 事件 发 生 的 可 能 性 需要 从 3 个 方面 进行 评估 : 一 是 历 
史 威 胁 情 况 ,曾经 发 生 过 的 威胁 和 威胁 发 生 次 数 是 威胁 发 生 的 可 能 性 的 重要 参考 ;二 是 威 
胁 在 整个 社会 层面 的 总 体 发 展 态势 ;三 是 威胁 形成 的 复杂 程度 。 

(6) 监视 威胁 及 其 特征 。 威 胁 随 着 环境 而 变化 。 威 胁 的 特征 可 以 从 3 个 方面 获取 : 
一 是 对 历史 威胁 事件 进行 统计 分 析 ; 二 是 根据 当前 技术 发 展 形式 进行 分 析 ; 三 是 从 其 他 
组 织 获取 。 

威胁 的 评估 结果 一 般 都 是 定性 的 。 我 国 的 《信息 安全 风险 评估 指南 》 将 威胁 的 频率 划 
分 为 5 级 ,如 表 2-4 所 示 。 


表 2-4 威胁 出 现 频 率 级 别 


级 别 朱 述 

很 高 威胁 出 现 频率 很 高 ,大 多 数 情况 下 几乎 不 可 避免 ,或 被 证 实 经 常 发 生 
高 威胁 出 现 频率 较 高 ,大 多 数 情况 下 很 可 能 发 生 ,或 被 证 实 多 次 发 生 
中 威胁 出 现 频率 中 等 , 某 些 情况 下 可 能 发 生 , 或 被 证 实 曾 发 生 过 

低 威胁 出 现 频率 较 小 ,不 太 可 能 发 生 , 也 没有 被 证 实 发 生 过 

很 低 威胁 几乎 不 可 能 出 现 , 仪 在 罕见 和 例外 的 情况 下 发 生 


威胁 的 强度 是 随机 的 ,不 同 威胁 出 现 的 可 能 性 不 同 ,通常 使 用 威胁 的 平均 强度 或 最 强 
强度 作为 参考 给 出 威胁 定性 的 评 信 和 结 末 。 

4. 已 有 安全 措施 确认 

安全 措施 分 为 预防 性 安全 措施 和 保护 性 安全 措施 。 预 防 性 安全 措施 可 以 降低 威胁 利 
用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ,如 入 侵 检 测 系 统 和 防火 坪 等 ;保护 性 安全 措施 可 以 


减 小 因 安 全 事件 发 生 对 信息 系统 造成 的 影 啊 。 
对 已 有 的 安全 措施 进行 确认 有 两 个 重要 作用 。 一 方面 , 它 有 助 于 对 当前 信息 系统 面 


临 的 风险 进行 分 析 , 是 资产 评估 .威胁 评估 和 脆弱 性 评估 的 有 益 补 充 , 其 结果 可 用 于 后 续 
的 风险 分 析 工 作 。 另 一 方面 ,通过 对 当前 安全 措施 的 确认 ,分 析 其 有 效 性 ,对 有 效 的 安全 
措施 继续 保持 ,对 不 合适 的 安全 措施 应 当 采 取 取 消 ,或 者 用 更 加 合适 的 安全 措施 替代 ,以 
避免 不 必要 的 工作 和 费用 ,防止 安全 措施 的 重复 实施 。 
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2.2.5 安全 需求 分 析 


企业 信息 系统 规模 庞大 、 体 系 复杂 。 从 安全 的 角度 可 以 将 企业 信息 系统 划分 为 7 层 ; 
物理 层 、 网 络 层 、 虚 拟 层 、 系 统 层 、 应 用 层 、 数 据 层 和 用 户 层 。 物 理 层 包括 企业 信息 系统 的 
机 房 .计算机 设备 、 存 储 设备 、 网 络 设备 、 各 类 服务 器 和 各 类 安全 设备 等 物理 设施 。 网 络 层 
主要 包括 企业 信息 系统 所 使 用 的 网 络 通信 服务 ,如 互联 网 通信 服务 和 VPN 通信 服务 等 。 
虚拟 层 主要 包括 企业 信息 系统 的 虚拟 化 环境 。 系 统 层 主要 包括 企业 信息 系统 、 主 机 操作 
系统 和 相关 设备 的 嵌入 式 系统 等 。 应 用 层 主要 包括 企业 信息 系统 所 运行 的 各 种 业务 应 用 
程序 和 系统 程序 。 数 据 层 主要 包括 与 企业 信息 系统 所 运行 的 各 种 业务 应 用 程序 和 系统 程 
序 相关 的 数据 。 用 户 层 主要 包括 企业 信息 系统 的 各 类 用 户 。 本 节 介 绍 除 物理 层 以 外 的 其 
他 6 层 的 安全 需求 分 析 。 


1. 确定 防护 重点 

企业 信息 系统 由 于 其 广度 和 深度 ,其 安全 体系 的 建设 和 安全 防护 措施 的 落实 是 一 个 
循序 渐进 的 过 程 ,安全 防护 手段 也 不 可 能 一 步 到 位 ,所 以 在 安全 体系 建设 之 初 ,需要 确认 
目标 系统 的 防护 重点 。 一 般 来 说 ,核心 业务 相关 的 机 房 、 服 务 磊 、 网 络 设 备 和 核心 数据 的 
存储 设备 等 都 是 防护 的 重点 。 确 定 防护 重点 ,需要 结合 安全 风险 评估 的 资产 识别 结果 和 
脆弱 性 识别 结果 ,将 具有 高 价值 和 高 脆弱 性 的 资产 评定 为 优先 防护 的 对 象 。 

确定 防护 重点 对 象 之 后 ,需要 比较 企业 当前 的 安全 防护 水 平 与 预期 需要 达到 的 安全 
防护 水 平 或 者 业界 最 佳 实践 的 网 络 安全 防护 水 平 之 间 的 差 跑 。 差 距 分 析 对 于 信息 系统 安 
全 建设 起 者 重要 作用 , 它 往往 是 对 企业 信息 系统 安全 水 平 最 早 的 玻 实 检查 ,能 够 反映 当前 
水 平 与 更 安全 的 目标 之 间 的 差距 ,能 够 为 后 续 安 全 体系 的 整体 建设 提供 成 本 和 工作 量 的 
评估 依据 。 

传统 的 安全 建设 从 被 动 防御 的 角度 出 发 ,对 安全 域 的 划分 较为 单一 ,而 事实 上 攻击 者 
的 技术 手段 在 不 断 进 步 和 提升 ,突破 系统 防护 弱点 只 是 时 间 问 题 。 因 此 ,在 当前 的 网 络 安 
全 环境 下 ,信息 系统 安全 建设 应 该 从 反 人 侵 的 视角 纵深 防御 、 层 层 递 进 , 针 对 攻击 活动 中 
的 每 一 步 进 行 安全 防护 建设 ,可 以 称 之 为 “ 设 陷 阱 ?或 *“ 埋 点 ?>。 埋 点 的 意义 在 于 假设 攻击 
者 的 活动 进行 到 了 某 一 步 , 安 全 防护 体系 要 阻止 其 进入 下 一 步 或 者 使 其 不 能 带 着 完全 的 
进攻 能 力 进入 下 一 步 并 全 身 而 退 。 典 型 的 纵深 防御 技术 需求 如 图 2-11 所 示 。 

第 一 层 为 业务 安全 域 抽象 划分 ,是 对 业务 的 抽象 ,并 不 是 对 物理 服务 器 的 划分 ,在 大 
规模 分 布 式 架构 中 ,同一 个 安全 域 的 机 器 并 不 一 定位 于 同一 个 物理 机 房 , 但 是 它们 对 应 相 
同 的 安全 等 级 ,共享 一 组 相同 的 访问 控制 策略 ,只 对 其 他 安全 域 或 互联 网 骏 露 有 限 的 协议 
和 接口 ,即使 攻击 者 渗透 了 相 邻 安全 域 的 服务 需 , 也 只 能 扫描 和 访问 这 个 安全 域内 有 限 的 
靖 口 ,无 法 完成 渗透 。 抽 和 象 划分 的 安全 域 有 利于 防止 攻击 者 在 不 能 直接 攻击 目标 时 从 局 
围 可 信任 区 域 进 攻 。 和 第 一 层 的 作用 在 于 能 把 安全 事件 爆发 的 最 大 范围 控制 在 一 个 安全 域 
中 ,而 不 是 直接 扩散 到 全 网 。 

第 二 层 是 基于 效 据 链 路 层 的 隔离 ,只 有 数据 链 路 层 隅 离 了 ,才能 算 真 正 隅 离 。 数 据 链 
路 层 使 用 VPC、VXLAN 和 VLAN 每 方法 ,相当 于 在 安全 域 的 基础 上 对 一 组 服务 器 以 更 
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防止 内 核 空 间 乱 入 
DEP 、ASLR 、SELinux 等 
Hook API、Nginx 加 固 等 


WAF 、 和 人 入 侵 防御 系统 等 


从 业务 视角 划分 基本 安全 域 


图 2-11 纵深 防御 技术 需求 


细 的 粒度 再 设 一 道 屏 隐 ,进一步 抑制 单个 服务 融 补 攻陷 后 受害 源 扩 大 的 问题 。 

第 三 层 是 协议 端口 状态 过 滤 , 这 是 绝 大 多 数 防火 墙 设备 的 防护 场景 。 该 层 主要 解决 
的 是 对 攻击 者 骏 露 的 攻击 面 的 问题 ,即使 系统 安全 加 固 没 有 完全 到 位 ,被 攻击 的 服务 耸 上 
不 必要 的 服务 没有 清理 干净 ,服务 碳 开 放 了 不 必要 的 端口 ,其 至 服务 胡 的 端口 上 运行 大 有 
安全 漏洞 的 服务 ,但 是 针对 这 些 攻 击 的 漏洞 都 被 防火 墙 过 滤 了 ,路 由 不 可 达 , 所 以 攻击 者 
无 法 利用 这 些 漏洞 。 本 质 上 ,第 三 层 防 御 手 段 承 是 尽 可 能 切断 攻击 者 的 访问 通道 ,大 幅度 
减 小 可 供 攻 击 者 利用 的 攻击 面 ,延缓 其 至 阻止 攻击 活动 。 

第 四 层 是 业务 应 用 层 安全 ,也 是 实际 生产 工作 中 涉及 问题 最 多 的 一 层 。 业 务 应 用 层 


文件 上 传 源 洞 攻击 之 类 的 应 用 层 源 洞 问题 , 尽 可 能 把 入 侵 者 墙 在 入 口 之 外 。 

应 用 层 上 方 是 容 甫 层 .操作 系统 防御 层 以 及 内 核 防 御 层 。 这 里 的 目标 是 假设 服务 关 
上 的 应 用 程序 已 经 存在 源 洞 ,并 且 攻 击 者 找到 了 源 洞 ,但 不 希望 这 个 源 洞 能 锐 成 功利 用 直 
接 跳 转 到 系统 权限 ,从 而 能 在 这 一 步 阻止 。 通 过 容 带 加 固 , 如 阻止 一 些 危 险 孙 数 的 运行 ， 
攻击 者 使 用 各 种 方法 变形 编 乌 字符 拼 接 等 逃 过 了 应 用 层 的 检测 ,但 是 在 最 终 运 行 时 的 底 
层 指令 不 这 ,在 容 颖 \ 操 作 系 统 和 内 核 等 层次 ,要 对 此 类 人 危险 的 奔 层 指令 做 严格 的 检测 和 


2. 网 络 层 安全 需求 分 析 

1) 网 络 安 全 域 控 制 

按照 业务 重要 性 和 逻辑 相关 性 ,企业 信息 网 络 一 般 需 要 划分 为 几 个 不 同 的 安全 域 , 包 
括 生 产 网 ,办公 网 .测试 网 .数据 中 心 网 .外 来 人 员 网 等 ,并 制定 安全 域 之 间 的 安全 访问 控 
制 荣 略 ,通过 防火 场 、 上 网 行为 等 控制 不 同安 全 域 之 间 的 访问 ,实时 阻 断 异 第 访问 。 在 部 
分 敏感 的 安全 域 之 间 部 署 人 侵 检 测 系统 ,通过 签名 匹配 的 方式 ,发 现 网 络 层 的 攻击 行为 ， 
如 DDos 攻击。 
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2) 网 络 安全 子 域 控制 

典型 的 系统 应 用 架构 通常 分 为 接 入 层 、 应 用 层 、 数 据 库 层 , 在 生产 网 中 需要 按照 此 3 
层 系统 架构 模式 将 网 络 划 分 为 不 同 的 安全 子 域 , 安 全 子 域 之 间 通 过 防火 墙 隔离 ,这样 能 够 
在 很 大 程度 上 避免 南北 回 攻 击 , 即 接 人 层 服务 替补 攻破 后 可 以 轻而易举 地 攻破 同一 网 络 
中 的 其 他 应 用 层 和 数据 库 层 服务 需 。 

3) 网 络 准 入 控制 

对 接 入 企业 的 网 络 实施 准 入 控制 ,对 有 恶 一 设 备 非法 接 入 网 络 能 够 实时 检测 和 阻 断 。 
对 机 房 等 物理 环境 可 控 区 域 , 通 过 在 交换 机 上 禁用 未 使 用 的 端口 实现 接 入 控制 。 在 办 公 
场所 、 萌 业 厅 会议 室 等 开放 区 域 , 通 过 实施 终 痪 准 入 控制 ,实现 接 和 安全 管控 ,对 未 经 认 
证 授权 的 设备 禁止 接 和 人 网络 ,限制 不 符合 安全 规范 要 求 的 设备 访问 网 络 。 对 于 核心 机 房 
等 重要 场所 ,通过 IP 地址 .MAC 地 址 和 奖 口 绑 定 的 方式 实现 接 人 控制 。 对 于 企业 内 无 线 
网 络 ,实施 准 入 控制 ,对 接 人 用 户 的 身份 进行 认证 ,对 接 人 之 后 的 访问 权限 进行 严格 控制 。 
在 无 线 网 络 允 许 接 入 办 公 网 络 情况 下 ,要求 对 接 入 的 设备 进行 安全 检查 ,包括 安 站 企 业 的 
果 面 管理 软件 及 防 病毒 软件 等 ,只 有 认证 合法 并 有 旦 安全 检查 符合 要 求 的 设备 才 人 允许 访问 
办 公 网 络 。 

4) 网 络 流 量 分 析 及 监测 

在 安全 域 之 间 以 及 安全 域内 部 四 流量 分 析 及 监测 系统 ,通过 黑 , 日 、 灰 名 单 末 略 ,发现 
安全 域 间 和 安全 域内 的 异常 访问 ,实现 实时 告 考 。 通 过 部 普 隐 和 菩 信 轧 检 测 工具 ,检测 出 
Ping Tunnel .DNS Tunnel 等 黑客 笛 用 的 传输 数据 的 隐蔽 信道 。 


3. 虚拟 层 安全 需求 分 析 

在 虚拟 层 应 实现 以 下 安全 管控 措施 : 

(1) 在 虚拟 化 环境 中 ,部 普 第 规 的 安全 管控 泵 上 略 , 如 防 炳 毒 软 件 和 安全 客户 并 的 安 
准 \ 人 侵 检 测 系统 和 异 第 流量 系统 部 署 等 ,并 确保 管控 撞 施 有 效 。 

(2) 研究 并 部 署 虚拟 层 的 安全 管控 方案 ,保障 Hypervisor 层 的 安全 ,防止 虚拟 层 被 
突 令 之 后 虚拟 机 集体 沦陷 。 

(3) 部 署 虚 拟 异 笛 流 量 系统 .虚拟 防火 场 和 虚拟 入 侵 检 测 系统 ,对 虚拟 机 之 间 的 网 络 
访问 进行 监测 和 控制 ,以 发 现 异常 网 络 行为 和 入 侵 行 为 。 


4. 系统 层 安 全 需求 分 析 

1) 已 知 恶意 软件 检测 

已 知 恶 意 软 件 检测 主要 是 基于 签名 进行 的 。 对 已 知 恶 意 软 件 进行 检测 ,可 以 提高 精 
确 度 ,减少 误 报 ,提高 可 运 维 性 。 在 终端 层面 ,通过 安装 防 病毒 软件 、 安 全 客户 端 等 ,实现 
恶意 软件 检测 ;在 邮件 层面 ,通过 部 署 反 垃 圾 邮件 网 关 实 现 已 知 恶意 软件 检测 ;在 上 网 出 
口 ,通过 上 网 行为 管理 系统 和 恶意 软件 检测 分 析 系 统 ,实现 基于 签名 的 恶意 软件 检测 。 公 
司 总 部 及 各 营业 部 办 公 网 和 交易 网 Windows 服务 器 和 终端 都 要 求 安 装 桌面 防 病毒 软件 
客户 端 ,并 且 保 持 防 病毒 软件 安装 率 和 更 新 率 在 95% 以 上 。 

2) 未 知 恶 意 软 件 检测 

通过 在 客户 端 互联 网 出 口 部 署 亚 意 软 件 检测 分 析 系 统 , 在 一 定 程度 上 能 够 发 现 未 知 
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恶意 软件 。 

3) 异 第 连接 检测 

根据 区 域 的 功能 和 重要 程度 ,有 和 针对 性 地 部 署 不 同形 式 的 蜜 钢 。 在 办 公 网 、 交 易 网 重 
要 的 服务 硕 区 域 和 互联 网 DMZ 区 域 部 薄 军 钢 系 统 ;在 终 闹 上 部 普 窄 钠 文 件 和 蜜 钢 闹 口 ; 
在 服务 器 和 终端 上 部 署 蜜 饶 指 邻 ;在 互联 网 DMZ 区 域 和 办 公 网 服务 器 区 域 部 署 蜜 钢 网 
站 ;在 互联 网 DMZ 区域. 办 公 网 终端 和 服务 右上 部 署 蜜 饶 数 据 , 蜜 钢 数 据 包 括 一 些 经 过 
脱 敏 处 理 的 客户 个 人 信息 (姓名 、 身 份 证 号 .银行 卡号 .手机 号 等 )。 对 所 有 以 上 的 技术 措 
施 形成 统一 的 标准 ,以 规范 使 用 场景 日常 运 维 机 制 ( 技 术 、 监 控 、 啊 应 、 应 急 ) 以 及 验证 机 
制 等 。 将 上 述 措 施 形成 一 个 整体 ,将 其 正规 化 标准 化 ,从 而 形成 一 个 窄 钠 网 体系 。 

4) 端点 检测 和 响应 系统 

在 主机 终 闪 部 闭关 点 检测 和 吧 应 系统 ,其 功能 主要 在 于 终 闪 发 现 .软件 发 现 .漏洞 管 
理 .安全 配置 管理 .日 志 管 理 以 及 危险 检测 和 响应 等 几 个 方面 。 主 机 终端 往往 是 攻击 发 生 
的 现场 ,通过 在 每 一 个 主机 终端 部 署 一 个 客户 端 ,客户 端 将 在 终端 检测 到 的 信息 统一 反馈 
给 系统 管理 平台 ,这 样 可 以 及 时 、 有 效 地 发 现 针对 主机 的 攻击 ,如 木马 攻击 、SQL 注入 攻 
击 、 暴 力 破解 等 行为 。 


5. 应 用 层 安全 需求 分 析 

1) 常用 软件 的 异常 检测 

常用 软件 包括 业务 网 安装 的 FTP 软件 .网 络 管理 软件 .内 部 系统 使 用 的 Web 应 用 。 
目前 主要 通过 防 病 毒 软件 和 安全 客户 端 等 检测 软件 异常 ,通过 部 署 新 版 安全 客户 端 , 对 办 
公 终 闪 稼 用 软件 的 使 用 情况 进行 收集 和 梳理 ,通过 MD5 比 对 的 方式 检测 异 篆 的 软件 ,对 
业务 网 内 部 使 用 的 Web 应 用 进行 扫 措 ,发现 其 中 存在 的 漏洞 ,并 进行 修复 。 

2) 数据 库 软 件 的 异常 检测 

互联 网 区 域 的 数据 库 通过 部 署 数据 库 审 计 系统 进行 数据 库 的 审计 和 和 人 侵 防护 ,并 纳 
入 日 常 检查 和 运 维 ,互联 网 区 域 通过 部 署 IPS 和 WAF 系统 ,实现 基于 签名 的 数据 库 人 侵 
的 检测 。 非 互联 网 区 域 的 数据 库 通 过 数据 库 系 统 的 合 规 建设 和 用 户 权 限 控制 ,在 一 定 程 
度 上 进行 数据 库 配置 安全 加 固 。 通 过 部 署 开 源 数据 库 防 护 系 统 , 加 强 对 数据 库 的 安全 检 
测 和 防护 。 

3) 安全 开发 规范 落地 

为 了 使 安全 开发 规范 落地 ,应 注意 以 下 几 点 : 

(1) 在 需求 设计 阶段 ,安全 功能 需 作 为 非 功能 需求 进行 考虑 。 

(2) 引入 源 代 码 日 盒 安 全 扫描 工具 ,将 安全 检测 工作 前 移 , 在 软件 开发 过 程 中 ,通过 
自动 化 工具 和 人 工 检测 的 方式 提高 软件 代码 安全 质量 。 

(3) 在 测试 阶段 ,应 对 安全 功能 进行 测试 ,并 且 在 测试 报告 中 体现 。 

(4) 修订 安全 开发 规范 ,确保 更 有 操作 性 。 

(5) 加 强 安 全 开发 规范 落地 检查 ,对 于 违反 开发 规范 的 行为 纳入 绩效 考核 。 
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6. 数据 层 安全 需求 分 析 

1) 数据 不 被 非法 访问 

为 实现 数据 不 被 非法 访问 的 目标 ,业务 网 主要 通过 安全 域 划 分 ,在 办 公 网 、 业 务 网 、 数 
据 中心 网 段 之 间 进 行 网 络 访问 控制 ,通过 相互 隔离 ,限制 安全 域 之 间 的 数据 传输 。 在 互联 
网 区 域 部 署 数据 库 审 计 工 具 , 对 访问 数据 库 的 行为 进行 审计 ,检测 其 中 的 异常 访问 。 在 办 
公 网 和 业务 网 之 间 通 过 加 固 的 FTP 经 审批 之 后 传输 数据 ,在 传输 过 程 中 对 敏感 数据 进行 
检测 。 将 存放 敏感 数据 的 办 公 系 统 迁 入 保密 网 ,通过 保密 网 安全 桌面 进行 访问 ,增加 了 访 
问 的 限制 ,一定 程度 上 防止 了 系统 数据 被 非法 访问 。 

2) 数据 不 被 非法 传播 

在 互联 网 出 口 线路 和 邮件 系统 部 署 数据 防 泄露 系统 ,对 涉及 敏感 保密 内 容 的 特定 字 
段 的 数据 传输 能 够 提供 检测 功能 。 在 数据 中 心 ,Windows 系统 通过 安全 客户 端 检测 U 盘 
插 拔 ,防止 在 机 房 通 过 U 盘 复 制 的 方式 传输 数据 :通过 检测 服务 需 双 网 卡 行为 ,发 现 通过 
插 网 线 相 互 复制 的 异常 行为 ;通过 禁用 未 使 用 的 交换 机 端口 ,防止 通过 接 入 交换 机 网 络 的 
方式 实现 数据 传输 。 在 办 公 网 ,通过 部 署 安全 客户 端 系 统 ,检测 敏 感 数据 的 复制 和 上 传 等 
非法 泄露 数据 的 行为 ;同时 ,将 敏感 系统 迁 入 保密 网 安全 桌面 ,使 数据 在 导出 之 后 被 加 密 ， 
只 能 在 保密 网 打开 ,以 防止 数据 被 非法 传播 ;通过 数字 水 印 系统 ,实现 数据 传播 过 程 中 的 
可 追踪 。 

3) 数据 不 被 非法 算 改 

数据 算 改 的 威胁 主要 在 互联 网 区 域 , 内 部 数据 算 改 的 风险 相对 较 低 。 针 对 数据 库 ,在 
互联 网 服务 系统 数据 库 区 域 部 署 数 据 库 审 计 系 统 , 对 异常 的 数据 库 用 户 使 用 和 操作 进行 
监控 ;针对 网 站 ,部 署 网 页 防 算 改 系统 ,对 互联 网 服务 系统 的 数据 算 改 可 起 到 很 好 的 防御 
作用 。 


7. 用 亡 层 安全 需求 分 析 
1) 用 户 身 份 认证 和 授权 
在 系统 层面 ,通过 安全 运 维 平台 系统 结合 Token 系统 实现 用 户 的 统一 身份 认证 和 授 
权 工 作 。 在 办 公 应 用 层面 ,通过 活动 目录 系统 实现 办 公 系 统 的 身份 认证 功能 。 一 般 是 通 
过 统一 身份 认证 实现 用 户 身 份 认证 和 授权 。 
2) 记录 ,检测 和 阻 断 用 户 的 异常 创建 和 使 用 
日 前 主要 通过 系统 日 志 采 集 和 分 析 平 台 实 现 对 用 户 的 异常 创建 ,异常 使 用 密码 探 测 
等 异常 行为 的 检测 和 报警 功能 。 办 公 网 终端 也 可 以 通过 桌面 管理 软件 实现 用 户 的 异常 创 
建 . 异 篆 使 用 等 行为 的 检测 和 报警 。 在 办 公 网 上 网 终端 范围 内 ,通过 安全 困 面 和 上 网 行为 
管理 系统 记录 ,检测 和 阻 断 用 户 不 合 规 的 上 网 行为 。 
3) 采用 日 名 单方 式 访问 互联 网 
生产 网 及 办 公 网 访问 互联 网 资源 应 采用 日 名 单方 式 。 生 产 网 中 的 服务 融 访 问 的 互联 
网 资源 一 般 都 比较 固定 , 均 为 月 名 单方 式 。 办 公 网 中 用 户 访 问 互联 网 端口 可 默认 为 访问 
任意 IP 地 址 的 80 及 443 端口 ( 黑 名 单 以 外 ) 。 如 果 有 其 他 特殊 访问 需求 ,可 单独 将 其 加 
人 日 名 单 。 采 用 日 名 单方 式 访问 互联 网 的 控制 措施 可 以 大 幅度 降低 用 户 遭 受 木马 及 病毒 
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攻击 的 风险 。 
2.2.6 形成 安全 防护 方案 
在 完成 系统 的 安全 域 划 分 .安全 防护 定 级 .安全 控制 点 分 析 、 系统 安全 风险 评估 和 安 


全 需求 分 析 等 工作 之 后 ,结合 目 身 系统 各 部 分 的 安全 等 级 要 求 , 最 终 形 成 安全 保护 方案 。 
并 在 后 续 的 运 维 工 作 中 贯彻 落实 企业 信息 系统 安全 的 不 断 更 新 和 整改 。 


2 .3 言 恩 系 统 安 全 运 维 体系 建设 


言 息 系统 的 安全 运 维 工 作 分 3 个 层次 开展 ,分 别 为 基础 实践 层 .安全 能 力 层 和 展示 决 
策 层 。 基 础 实践 层 主 要 负责 安全 运 维 的 技术 落实 以 及 运 维 工 作 的 具体 实施 ,是 开展 更 高 
层次 运 维 工作 的 基础 。 安 全 能 力 层 主要 负责 企业 信息 系统 各 部 分 相关 的 安全 策略 和 安全 
0 7 理 和 实施 ,体现 安全 体系 对 于 系统 的 实际 防护 能 力 ,为 展示 决策 层 的 任务 作 好 铺 
热 , 也 为 基础 实践 层 作 好 指导 。 村 丰 并 于 友 二 要 站 页 六 于 沾 丰 司祭 先 和 和 人 罗 于 和 已 
能 够 收集 和 处 理 系统 的 有 歼 安 全 信息 ,直观 准确 地 呈现 给 决策 管理 者 ,指导 整个 信息 系统 
安全 体系 的 运 维 工作 以 及 系统 的 更 新 和 安全 加 固 。 信 息 系 统 安全 运 维 层 次 如 图 2-12 
所 示 。 


有 可视化 与 决策 
展示 与 决策 -| 数据 关联 与 安全 分 析 
安全 信息 收集 与 处 理 


安全 事件 响应 能 


安全 监 出 能 


各 
疏 册 


安全 应 急 啊 应 能 


技术 与 实施 4 实践 层 设备 安全 检测 与 升级 


系统 运 维基 本 任务 
图 2-12 ”信息 系统 安全 运 维 层次 


2.3.1 信息 系统 安全 运 维 的 模式 


对 于 各 种 企业 信息 系统 的 安全 运 维 ,需要 明确 企业 月 身 的 安全 运 维 力量 和 外 部 安全 
运 维 服务 提供 商 之 间 的 关系 人 情况 将 安全 运 维 工作 分 为 日 主 运 维 模 
式 、 完 全 外 包 运 维 模式 和 混合 运 维 模式 。 
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got 


1. 目 主 运 维 模式 

自主 运 维 模式 是 指 企业 自行 负责 对 所 有 资源 的 安全 运 维 工 作 。 采 用 自主 运 维 模式 ， 
运 维 人 员 容 易 管控 ,可 根据 企业 的 自身 需求 进行 能 力 培 训 , 完 成 企业 所 需 的 各 项 安全 运 维 
工作 。 其 缺点 在 于 企业 人 员 数 量 有 限 ,对 于 并 行 的 安全 运 维 工 作 无 法 同时 提供 文 返 。 同 
时 ,由 于 安全 运 维 相 关 各 专业 人 才 培 养 时 间 较 长 ,很 难 满 足 企 业 安 全 运 维 工作 的 需求 。 


2. 完全 外 包 运 维 模式 

完全 外 包 运 维 模式 是 指 企业 通 过 与 其 他 单位 签署 安全 运 维 外 包 协 议 , 将 企业 所 拥有 
的 全 部 黄 源 的 安全 运 维 工 作 外 包 给 其 他 单位 , 即 外 包 单位 为 企业 各 单位 提供 安全 运 维 服 
务 。 完 全 外 包 安 全 运 维 模式 的 优势 在 于 充分 利用 外 部 经 验 , 能 够 快速 提供 企业 所 有 资源 
的 安全 运 维 能 力 , 同 时 安全 运 维 人 数 比较 充足 ,多 于 应 对 大 规 醒 的 安全 运 维 需求 。 但 是 ， 
完全 外 包 运 维 模 式 也 存在 外 部 人 员 管 控 难 度 较 大 ,企业 信息 泄露 风险 高 等 问题 。 


3. 混合 运 维 模式 

混合 运 维 株式 是 指 企业 对 所 拥有 的 一 部 分 资源 目 行 负 贡 安全 运 维 ,同时 ,通过 与 其 他 
单位 签 普 安全 运 维 外 包 协 议 ,将 企业 所 拥有 的 万 一 部 分 资源 的 安全 运 维 工作 外 包 给 其 他 
单位 。 企 业 通 过 混合 运 维 醒 却 能 够 充分 发 挥 月 主 运 维 模式 和 安全 外 包 运 维 模式 的 优势 。 
但 是 ,由 于 存在 两 种 安全 运 维 模式 ,也 增加 了 安全 运 维 工 作 的 复杂 度 ,延长 了 安全 运 维 流 
程 ; 同 时 ,也 需要 充分 考虑 内 外 部 安全 运 维 人 员 的 职 贡 划分 和 人 员 比 例 。 在 合理 的 安全 运 
维 成 本 下 , 既 要 保证 安全 运 维 工作 的 顺利 完成 ,又 要 确保 企业 内 部 安全 运 维 人 员 能 够 得 到 
充分 锻 烁 和 提升 。 

土 恩 系统 的 安全 运 维 工作 涉及 各 种 配件 和 软件 ,对 各 种 软 硬 件 的 安全 运 维 工作 需要 
大 量 的 安全 性 和 专业 性 很 哩 的 技术 。 这 些 安 全 知识 更 新 速度 很 快 ,对 于 安全 运 维 人 员 来 
说 ,保持 与 专业 知识 和 技术 发 展 的 同步 性 十 分 重要 。 因 此 ,企业 内 单一 的 信息 技术 安全 运 
维 环境 一 般 不 利于 安全 运 维 人 员 的 成 长 和 发 展 。 为 了 控制 人 力 成 本 ,保障 信息 系统 的 安 
全 ,信息 扩 术 安全 运 维 全 面 或 局 部 外 包 成 为 企业 在 有 限 资 源 条 件 下 实现 资源 歼 益 最 大 化 
的 必然 选择 。 


2.3.2 信息 系统 安全 运 维 的 基本 任务 


1. 信息 系统 的 日 党 运行 绾 理 

言 轧 系统 的 日 凋 安 全 运行 管理 工作 量 巨 大 ,包括 数据 的 收集 、 例 行 信 息 处 理 及 服务 工 
作 、 计 算 机 硬件 的 运 维 . 系统 的 安全 管理 4 项 任务 。 

(1) 数据 的 收集 。 一 般 包 括 数据 收集 .数据 校 验 及 数据 录入 3 项 子 任务 。 

(2) 例 行 信息 处 理 及 服务 工作 。 常 见 的 工作 包括 例 行 的 数据 更 新 、 统 计 分 析 、 报 表 生 
成 .数据 的 复制 及 保存 .与 外 界 的 定期 数据 交流 等 。 这 些 工作 一 般 来 说 都 是 按照 一 定 的 规 
程 定 期 地 通过 软件 程序 操作 的 。 

(3) 计算 机 硬件 的 运 维 。 如 果 缺 少 对 计算 机 硬件 设备 的 运行 维护 , 便 件 设备 会 很 容 
易 出 现 故 障 或 损坏 ,从 而 使 整个 信息 系统 的 正常 运行 失去 硬件 支撑 ,业务 无 法 正常 进行 。 
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人 硬件 的 运行 和 维护 工作 包括 设备 的 安全 使 用 管理 .定期 检修 、 备 件 的 准备 及 使 用 .电源 及 
工作 环境 的 安全 管理 等 。 

(4) 系统 的 安全 管理 。 这 是 日 常 运 维 的 重点 ,系统 的 安全 管理 是 为 了 防止 系统 外 部 
对 信息 系统 帝 源 不 合法 的 使 用 和 访问 ,保障 系统 的 硬件、 软件 和 数据 不 因 侦 然 或 人 为 因 系 
而 遭 到 破坏 .泄露 .修改 或 复制 ,维护 正当 的 信息 活动 ,你 障 信息 系 统 的 安全 性 。 

总 而 言 之 ,信息 系统 的 日 常 管理 工作 绝 不 只 是 对 设备 的 管理 ,更 重要 的 是 对 人 员 、 效 
据 .软件 及 安全 的 运行 维护 管理 。 


2. 信息 系统 运行 情况 的 记录 

土 恩 系统 的 运行 情况 是 对 系统 安全 管理 ` 风险 评 佑 的 重要 资料 之 一 。 如 末 企 业 缺 乏 
信息 系统 运行 的 基本 数据 ,只 停留 在 初始 印象 上 ,无 法 对 信息 系统 运行 情 沈 进行 科学 的 分 
析 和 合理 的 判断 , 束 难 以 维持 信息 系统 的 安全 运 俏 。 在 信息 系统 的 运 东 过程 中 ,需要 收集 
和 积累 的 资料 包括 以 下 儿 个 方面 。 

(1) 有 关 工 作 的 信息 。 例 如 ,开机 的 时 间 , 每 天 、 每 周 \ 每 月 提供 的 数据 报表 的 数量 ， 
信息 系统 中 积 柴 的 数据 量 ,修改 程序 的 数据 量 , 信 息 系 统 所 提供 的 信息 服务 的 规模 ,以 及 
计算 机 应 用 系统 功能 的 最 基本 的 数据 。 

(2) 工作 的 效率 。 信 息 系 统 为 了 完成 所 规定 的 工作 占用 了 多 少 人 力 、 物 力 和 时 间 。 
如 有 果 工 作 的 效率 发 生 了 明显 的 异常 变化 ,很 可 能 说 明 信 息 系 统 出 现 了 故障 或 遭 到 了 了 入侵。 

(3) 信息 系统 所 提供 的 信息 服务 质量 。 信 息 系 统 的 服务 和 其 他 服务 一 样 , 需 要 有 质 
量 的 你 证。 信息 系统 提供 的 信息 要 合乎 管理 人 员 的 需求 ,否则 工作 效率 再 高 也 蔚 无 意义 。 
同样 ,信息 提供 的 方式 是 否 合理 .信息 的 提供 是 否 及 时 、 提 供 信息 的 准确 程度 都 在 信息 服 
务 质 量 的 范畴 内 。 

(4) 信息 系统 的 维护 和 修改 情况 。 信 和 息 系 统 中 的 数据 .软件 和 便 件 都 需要 有 更 新 、 维 
护 和 检修 的 工作 规程 。 相 关 工 作 都 需要 有 详细 的 记载 ,包括 维护 工作 的 内 容 、 情 总 、 时 间 
和 执行 任务 等 。 这 不 仅 是 为 了 保证 信息 系统 的 安全 可 徘 运 行 ,还 有 利于 信息 系统 的 进 一 

(5) 信息 系统 的 故障 情况 。 无 论 故障 大 小 , 虱 应 该 及 时 地 记录 以 下 情况 : 故障 的 发 
生 时 间 . 故 隐 的 现象 . 故 隐 发 生 时 的 工作 环境 .处 理 方 式 . 处 理 绪 采 、` 处 理 人 员 和 怕 因 分 析 。 
这 里 的 故 了 区 不 是 仅仅 指 计算 机 硬件 的 故障 ,而 是 指 对 整个 信息 系统 而 言 的 故 隐 ,包括 各 种 
软件 的 安全 漏洞 等 。 

3. 信息 系统 的 运行 情况 检查 和 评价 

在 信息 系统 运营 过 程 中 ,除了 需要 不 断 地 对 其 进行 大 量 的 管理 和 维护 工作 ,还 需要 定 
期 对 信息 系统 的 运行 状况 进行 审核 和 评价 ,为 信息 系统 的 改进 和 扩展 提供 依据 。 信 息 系 
统 的 评价 一 般 从 以 下 3 个 方面 考虑 : 


(1) 信息 系统 是 否 达 到 预期 目标 ,目标 是 否 需 要 修改 。 
(2) 信息 系统 的 适应 性 .安全 性 评价 。 
(3) 信息 系统 的 社会 效益 和 经 济 效益 评价 。 


一 且 审 计 的 结果 确认 信息 系统 已 经 不 能 满足 管理 需求 和 决策 需求 ,或 者 适应 性 、 安 全 
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性 极 低 ,或 者 社会 效益 和 经 济 效 益 不 能 适应 企业 发 展 , 则 说 明 该 信息 系统 已 经 走 完 它 的 生 
命 周 期 ,应 该 开发 新 信息 系统 。 


2.3.3 信息 系统 安全 检测 和 升级 


安全 运 维 团队 定期 对 信息 系统 的 重要 服务 器 .应 用 系统 、 网 络 设备 .安全 设备 等 信息 
资产 进行 安全 检查 ,及 时 发 现 信息 系统 存在 的 各 类 安全 漏洞 ,提供 安全 漏洞 的 详细 描述 和 
修复 方案 ,并 对 漏洞 进行 修复 ,从 根本 上 提高 信息 资产 的 安全 防护 能 力 ， 

安全 检测 是 持续 性 的 检查 与 改进 过 程 ,能 够 帮助 安全 运 维 人 员 全 面 掌握 安全 状况 与 
发 展 态势 ,为 安全 保障 工作 提供 可 靠 的 依据 。 对 安全 设备 (如 防火 墙 , 和 人 侵 检测 系统 .人 侵 
防御 系统 、 加 密 机 .访问 控制 .安全 审计 系统 等 ) 进 行 定期 的 巡视 检查 和 一 定 程度 的 安全 评 
估 , 能 够 根据 安全 评估 结果 制定 安全 加 固 方案 ,并 对 安全 漏洞 进行 修补 ,消除 安全 隐患 ,全 


面 提升 信息 系统 的 安全 保障 能 力 。 通 过 模拟 攻击 者 攻击 的 方式 对 信息 系统 进行 远程 安全 
测试 ,发 现 信 息 系 统 中 存在 的 可 锌 攻击 者 利用 的 安全 汤 润 。 对 安全 检测 的 过 程 和 箔 来 进 


行 详细 描述 , 带 助 安全 运 维 人 员 总 结 安 全 现状 ,提出 安全 保 隐 工作 建议 。 

安全 运 维 需要 定期 检测 和 升级 ,检测 和 升级 的 方法 有 两 种 。 第 一 种 是 通过 人 工 的 方 
式 ; 第 二 种 是 采用 目 动 化 或 者 半 目 动 化 的 监控 软件 ,可 对 各 种 开源 的 半 目 动 化 的 监控 软件 
进行 二 次 开发 ,以 完成 本 单位 的 目 动 运 维 工 作 。 这 些 目 动 化 的 安全 运 维 监控 软件 会 对 异 
遂 情 况 进 行 报 转 或 者 提示 ,大 大 所 局 了 运 维 人 员 的 工作 效率 。 当 需要 监控 服务 器 时 ,可 将 
服务 硕 的 CPU 使 用 率 硬盘 使 用 率 等 需要 监控 的 内 容 整 理 形 成 一 个 脚本 文本 ,定期 推送 
给 服务 硕 ,服务 硕 将 监控 的 内 容 反 馈 给 安全 运 维 人 员 , 这 样 安全 运 维 人 员 就 能 快速 、 准 确 
地 监控 服务 硕 的 各 种 性 能 。 


2.3.4 安全 信息 收集 和 处 理 


安全 信息 的 收集 和 处 理 是 整个 安全 分 析 和 决策 的 基础 。 安 全 信息 的 收集 针对 企业 内 
部 数据 一 般 需 要 考虑 以 下 几 个 种 类 

(1) 环境 业务 类 数据 。 包 括 资产 及 属性 (业务 .服务 .漏洞 .使 用 者 等 ) 员工 与 账号 、 
组 织 结构 等 ,这 类 数据 也 被 称 为 环境 感知 数据 ,友好 类 情报 等 。 这 类 数据 往往 难以 从 设备 
中 直接 获取 ,但 对 安全 分 析 会 有 巨大 的 帮助 ,往往 要 随 着 安全 体系 建设 而 逐步 完善 。 

(2) 网 络 数 据 。 即 网 络 中 传输 的 流量 数据 ,网 络 数 据 通 党 都 有 严格 的 格式 规范 。 

(3) 设备 .主机 及 应 用 的 日 志 。 可 以 包括 Web 代理 日 志 、 路 由 器 防火 墙 日 志 、VPN 
日 志 、Windows 操作 系统 安全 及 系统 日 志 等 。 不 同 来 源 的 日 志 在 数 据 量 和 实用 价值 上 都 
不 同 。 

(4) 报警 数据 。 检 测 工 具 在 发 现 异常 时 生成 的 通知 就 是 报警 。 通 常 的 报警 数据 来 自 
IDS ,防火墙 等 安全 设备 。 依 据 环 境 和 配置 ,日 志 的 数据 量 可 以 有 很 大 的 变化 。 

采集 到 的 原始 安全 数据 中 包含 大 量 的 无 效 数据 ,在 数据 融合 、 关 联 、 安 全 分 析 之 前 ,这 
些 无 效 数据 必 须 被 清除 ,以 减少 后 续 的 工作 量 , 同 时 降低 无 效 数据 给 安全 分 析 结 果 融 来 的 
误差 。 原 始 安 全 数据 通常 不 会 完全 清洁 和 规范 ,在 数据 分 析 之 前 都 要 进行 相应 的 数据 清 
洗 ,在 原始 安全 数据 中 ,数据 质量 问题 主要 有 噪声、 异 背 值 ( 离 群 值 ) .数值 缺失 .数值 重复 
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等 。 噪 声 是 指 对 真实 数据 的 修改 或 其 他 无 关 数 据 ;异常 值 是 指 与 大 多 数 数据 偏离 较 大 的 
数据 ;数值 缺失 是 指 无 数据 的 情况 ,主要 包括 信息 未 被 记录 和 某 些 属性 不 适用 于 所 有 实 
例 ;数值 重复 主要 是 由 于 异 构 数据 源 的 合并 产生 了 大 量 相同 的 宛 余 数据 ,如 IP 地 址 、 时 间 
信息 等 。 

数据 清洗 的 框架 由 准备 ,检测 、 定 位、 修正 ,验证 5 个 阶段 组 成 ,如 图 2-13 所 示 。 


验证 数据 与 任务 目标 的 符合 性 


图 2-13 ”数据 清洗 的 框架 


(1) 准备 。 包 括 需 求 分 析 、 信 息 环境 分 析 、 任 务 定 义 \ 方 法 定义 .基本 配置 ,以 及 基于 
以 上 工作 形成 数据 清洗 基本 方案 等 。 通 过 需求 分 析 明 确信 息 系 统 的 数据 清洗 需求 ,如 格 
式 、 属 性 等 ;通过 信息 环境 分 析 明 确 数据 所 处 的 信息 环境 特点 ;任务 定义 用 于 明确 具体 的 
数据 清洗 任务 目标 ;方法 定义 用 于 确定 合适 的 数据 清洗 方法 ;基本 配置 用 于 完成 数据 接口 
等 的 配置 。 最 后 要 形成 完整 的 数据 清洗 基本 方案 ,并 整理 归档 。 

(2) 检测 。 包 括 检 测 前 所 必需 的 数据 预 处 理 , 并 进行 重复 记录 、 不 完整 记录 、 无 关 记 
录 等 数据 质量 问题 的 检测 ,对 检测 结果 进行 统计 ,以 获得 全 面 的 数据 质量 信息 ,并 将 相关 
信息 整理 归档 。 

(3) 定位 。 包 括 数 据 质 量 问题 定位 、 数 据 追 踩 分 析 , 并 根据 检测 结果 对 数据 质量 进行 
评估 。 然 后 分 析 数 据 与 安全 的 相关 性 以 及 问题 数据 产生 的 原因 ,进而 确定 数据 质量 问题 
性 质 及 位 置 ,形成 数据 修正 方案 ,并 将 相关 信息 归档 。 根 据 定 位 分 析 情 况 ,可 能 需要 返回 
检测 阶段 重新 对 数据 进行 处 理 。 

(4) 修正 。 在 定位 分 析 的 基础 上 ,对 检测 出 的 数据 质量 问题 进行 修正 ,具体 包括 问题 
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数据 标记 、 无 用 数据 删除 ,重复 数据 合并 、 缺 失 数据 估计 和 补充 等 ,并 对 数据 清洗 的 过 程 进 
行 管理 . 

(5) 验证 。 本 阶段 的 任务 是 验证 修正 后 的 数据 与 任 定 目标 的 符合 性 。 如 果 数 据 与 任 
务 目标 不 符合 , 则 应 进一步 进行 定位 分 析 与 修正 ,甚至 返回 准备 阶段 ,调整 相应 的 准备 
工作 。 

采集 和 清洗 之 后 的 数据 按照 统一 的 格式 进行 存储 和 管理 ,建立 一 定 的 索引 机 制 ,以 实 
现 高 效 的 数据 抽取 ,为 后 续 的 数据 融合 关联、 安全 分 析 等 工作 做 好 铺垫 。 


2.3.5 安全 策略 管理 


计 息 系统 的 安全 策略 是 指 为 发 布 、 管 理 、 保 护 敏 感 信息 资源 而 制定 的 一 系列 政策 和 措 
施 的 总 和 , 它 是 对 信息 资源 使 用 ,管理 规则 的 描述 ,也 是 企业 内 部 所 有 领导 和 员工 必须 遵 
守 的 规则 ， 

安全 策略 是 企业 对 处 理 安全 问题 管理 策略 的 描述 ,策略 要 能 对 某 个 安全 主题 进行 描 
述 ,探讨 其 必要 性 和 重要 性 ,解释 清楚 什么 该 做 ,什么 不 该 做 。 安 全 策略 应 该 简明 ,在 生产 
效率 和 安全 之 间 应 求 得 平衡 ,安全 策略 应 易于 实现 ,易于 理解 ,安全 策略 必须 遵循 确定 性 、 
完整 性 和 有 效 性 。 另 外 ,安全 策略 还 可 能 包含 一 些 表面 上 和 上 述 几 个 概念 没有 任何 关系 
的 方面 ,因为 整个 企业 的 整体 安全 是 最 重要 的 ,不 能 忽略 小 的 方面 而 影响 整体 的 安全 ,这 
包括 对 设备 .数据 .电子 邮件 ,互联 网 等 可 接受 的 使 用 策略 。 

信息 安全 策略 是 描述 程序 目标 的 高 层 计划 , 它 既 不 是 指导 方针 或 标准 ,也 不 是 程序 或 
控制 。 安 全 策略 为 一 个 总 体 安全 程序 提供 一 份 计划 ,应 用 者 能 按照 定义 好 的 方式 来 保证 
安全 。 策 略 中 不 应 该 包含 具体 的 执行 程序 。 程 序 是 执行 的 详细 步 又 ,而 策略 是 对 程序 应 
该 实现 的 目标 的 有 效 声明 ,安全 策略 使 用 普通 的 语言 描述 ,所 以 不 影响 具体 的 执行 过 程 。 
有 些 策略 会 有 详细 的 执行 说 明 或 相关 的 文件 资料 ,但 是 这 些 细节 不 应 该 出 现在 策略 本 身 
之 中 。 

在 自 适应 的 安全 防护 体系 中 ,安全 策略 也 应 该 具有 纵深 防御 的 层次 划分 。 安 全 策略 
应 循序 渐进 地 逐步 加 深 、 加 强 。 其 基本 的 设计 原则 如 下 

(1) 先 易 后 难 。 即 优先 解决 技术 难度 较 低 的 安全 问题 ,以 在 较 短 的 时 间 减 少 较 多 的 
安全 漏洞 为 目标 ,能 够 较 快 地 减 小 攻击 面 , 减 少 系统 受到 的 威胁 ,避免 影 响 进一步 扩大 , 接 
下 来 再 解决 复杂 的 安全 问题 ， 

(2) 先 急 后 缓 。 即 优先 解决 紧急 的 安全 问题 ,优先 关注 重要 业务 相关 的 系统 ,修复 紧 
急 的 安全 漏洞 以 及 快速 响应 紧急 安全 事件 。 再 接 下 来 解决 非 紧急 的 安全 问题 ,如 安全 架 
构 的 调整 .总 体 的 安全 策略 等 。 

(3) 先 众 后 窒 。 即 优先 解决 普遍 性 的 安全 间 题 ,对 于 此 类 安全 问题 主要 考虑 其 影响 
面 。 例 如 ,安全 漏洞 本 身 并 不 是 高 危 的 ,但 是 其 相关 的 业务 系统 所 涉及 的 用 户 众多 ,或 者 
相同 的 安全 漏洞 同时 出 现在 大 多 数 的 终端 上 ,这 样 的 安全 问题 影响 面 较 广 ,应 该 优先 解 
决 。 个 别 性 的 安全 问题 排 在 普遍 性 的 安全 问题 之 后 解决 

(4) 先 云 后 地 。 在 当前 的 网 络 环境 下 ,云端 服务 的 影响 范围 和 影响 深度 都 远大 于 本 
地 终端 的 安全 问题 ,因此 ,在 纵深 防御 的 策略 中 ,优先 解决 云端 安全 问题 ,使 得 整体 系统 的 
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服务 能 够 保持 正常 的 运行 ,是 非常 重要 的 。 然 后 再 解决 本 地 终端 的 个 别 安 全 问题 。 

(5) 先端 后 网 。 优 先 解决 终端 和 服务 器 主机 的 安全 问题 ,再 解决 传输 网 络 的 安全 问 
题 。 终 端 和 服务 器 主机 的 安全 漏洞 可 能 引起 更 大 范围 的 安全 问题 ,尤其 对 于 企业 内 网 , 保 
护 终 冰 主机 能 够 优先 保护 数据 。 然 后 峙 解决 网 络 传输 的 问题 。 

(6) 先 物 后 事 。 即 优先 解决 资产 ( 物 ) 日 身 的 安全 问题 (如 系统 漏洞 ,应 用 程序 漏洞 
等 ) ,再 解决 运行 过 程 和 人 员 行 为 ( 事 ) 的 安全 问题 。 主 要 目的 是 : 优先 从 技术 角度 对 信息 
系统 进行 安全 加 固 ,实现 基础 安全 ,这 是 后 续 安 全 运 维 的 保障 ;其 次 解决 运行 过 程 和 人 员 
行为 中 的 安全 问题 ,具体 问题 具体 分 析 , 能 够 最 大 程度 地 减 小 这 些 问 题 对 系统 安全 的 
影响 。 

(7) 先 预后 立 。 主 要 指 的 是 优先 对 信息 系统 进行 安全 体系 的 设计 和 规划 ,再 进行 具 
体 的 落地 实施 , 即 先 制定 管理 的 规章 制度 和 工作 流程 的 建设 问题 ,再 解决 实际 的 安全 监测 
和 防护 手段 建设 的 问题 。 

先进 的 网 络 安全 技术 是 网 络 安全 的 根本 保证 。 用 户 对 自 号 面临 的 威胁 进行 风险 评 
佑 ,决定 其 所 需要 的 安全 服务 种 类 ,选择 相应 的 安全 机 制 ,然后 集成 先进 的 安全 技术 ,形成 
一 个 全 方位 的 安全 系统 。 严 格 的 安全 管理 是 确保 安全 策略 落实 的 基础 ,各 计算 机 网 络 使 
用 机 构 和 企业 应 建立 相应 的 网 络 安全 管理 办 法 ,加 强 内 部 管理 ,建立 合适 的 网 络 安 全 管理 
系统 ,加 强 用 户 管理 和 授权 管理 ,建立 安全 审计 和 跟踪 体系 ,提高 整体 网 络 安全 性 。 

法 律 法 规 是 网 络 安全 保障 的 坚强 后 盾 ,《 中 华人 民 共 和 国 网 络 安全 法 》 的 颁布 对 于 企 
业 信 息 系统 安全 策略 有 着 重要 的 参考 作用 。 对 于 规模 复杂 的 信息 系统 ,往往 难以 制定 履 
盖 全 面 并 且 高 效 的 安全 策略 ,严格 地 天 照 法 律 法 规 的 规定 有 利于 安全 策略 的 制定 和 推行 。 

信息 系统 安全 策略 应 该 全 面 地 保护 信息 系统 整体 的 安全 。 在 设计 策略 的 覆盖 范围 
时 ,主要 考虑 以 下 几 个 方面 : 

(1) 物理 安全 策略 。 包 括 环 境 安全 .设备 安全 .媒体 安全 信息 资产 的 物理 分 布 、 人 员 
的 访问 控制 .审计 记录 、 异 常情 况 的 追查 等 。 

(2) 网 络 安全 策略 。 包 括 网 络 拓 扑 结 构 、 网 络 设 备 的 管理 ,网络 安全 访问 措施 (防火 
墙 、 入 侵 检测 系统 等 ) .安全 扫描 远程 访问 .不同 级 别 网 络 的 访问 控制 方式 .识别 .认证 机 
制 等 。 

(3) 数据 加 密 和 策略。 包括 加 密 算 法 .适用 范围 、 密 钥 交 换 和 管理 等 。 

(4) 数据 备份 策略 。 包 括 适 用 范围 、 备 份 方式 .备份 数据 的 安全 存储 、 备 份 周 期 负责 


人 等 


(5) 病毒 防护 策略 。 包 括 防 病毒 软件 的 安装 .配置 以 及 对 软盘 使 用 和 网 络 下 载 等 作 
出 的 规定 等 。 


(6) 系统 安全 策略 。 包 括 访问 策略 ,数据库 系统 安全 策略 、 邮 件 系 统 安全 策略 、 应 用 
服务 器 系统 安全 策略 、 个 人 桌面 系统 安全 策略 和 其 他 业务 相关 系统 安全 策略 等 。 
(7) 身份 认证 及 授权 策略 。 包 括 认证 及 授权 机 制 .方式 审计 记录 等 。 
(8) 灾难 恢复 策略 。 包 括 负责 人 员 ,恢复 机 制 . 方 式 .归档 管理 .硬件 .软件 等 。 
(9) 应 急 响应 策略 。 包 括 响 应 小 组 、 联 系 方式 .事故 处 理 计划 ,控制 过 程 等 。 
(10) 安全 教育 策略 。 包 括 安全 策略 的 发 布 和 宣传 .执行 效果 的 监督 .安全 技能 的 培 
4/ 
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训 、 安 全 意识 教育 等 。 

(11) 口令 管理 荣 略 。 包 插口 令 管理 方式 .口令 设置 规划 .口令 适应 规划 等 。 

(12) 补丁 管理 策略 。 包 括 系 统 补丁 的 更 新 测试、 安装 等 。 

(13) 系统 变更 控制 策略 。 包 括 设 备 、 软 件 配置 .控制 措施 .数据 变更 管理 .一致 性 管 
理 等 。 

(14) 商业 伙伴 及 客户 关系 策略 。 包 括 合同 条 款 安 全 策略 客户 服 务 安 全 建议 等 。 

(15) 复查 审计 策略 。 包 括 对 安全 策略 的 定期 复查 .对 安全 控制 及 过 程 的 重新 评 佑 、 
对 系统 日 志 记 录 的 审计 、 对 安全 技术 发 展 的 跟踪 等 。 


2.3.6 安全 监测 能 力 


安全 监测 是 日 第 运 维 工作 的 主要 内 容 , 从 监测 对 象 角 度 主 要 以 人 、 地 、 事 和 物 4 类 展 
开 , 如 图 2-14 所 示 。 


a 人 (Role) 地 (Position) | 
参与 人 员 角 色 基础 设施 
安全 监测 
物 (Service) 事 (Application) 
\ 应 用 系统 服务 经 号 运 划 活动 L/ 


图 2-14 安全 监测 工作 


人 主要 是 指 参与 信息 系统 运行 的 人 员 ( 以 下 简称 参与 人 员 ) ,包括 普通 用 户 、 管 理 员 、 
维护 人 员 、 安 全 保卫 人 员 和 第 三 方 技术 文 持 人 员 等 ;地 主要 指 组 成 信息 系统 的 基础 设施 ， 


包括 主机 、 服 务 融 ( 包 含 虚 拟 化 系统 ) 网 络 设施 以 及 安全 设备 等 ;事主 要 指 相关 的 业务 活 
动 .数据 的 采集 处 理 . 系 统 的 运 宫 和 安全 维护 活动 等 ; 物 主要 指 信息 系统 涉及 的 应 用 系统 
服务 ,包括 业务 管理 , 效 据 库 和 计算 中 心 等 。 

对 参与 人 员 主 要 监测 与 之 相关 的 行为 ,保证 相关 终 病 人 网 前 达到 安全 基线 要 求 , 对 终 
疡 进行 恶意 代码 查 杀 ,监测 与 修复 ,进行 人 侵 防 护 , 对 参与 人 员 的 操作 行为 进行 审计 杜 控 
制 ,对 下 载 到 本 地 的 文件 进行 加 密 和 添加 水 印 ,对 参与 人 员 获 取 数 据 的 过 程 .数量 .频率 进 
行 审 计 和 监控 。 在 获取 数据 后 , 保 隐 数据 在 本 地 不 落地 ,在 网 络 侧 对 参与 人 员 的 运 维 操作 
进行 审计 ,为 进入 到 非 第 三 方 人 员 办 公 区 网 络 的 第 三 方 人 员 配 置 专用 终端 等 。 

对 系统 基础 设施 主要 监测 主机 、 操 作 系 统 、 网 络 每 方面 。 对 主机 资产 与 运行 状态 进行 
监控 ,对 资产 状态 变化 进行 审计 并 报 皮 ; 对 主机 账号 进行 统一 管理 ,对 主机 账号 的 使 用 进 
行 审 计 ; 及 时 发 现 并 修复 主机 漏洞 ;及 时 发 现 并 查 杀 主机 恶意 代码 ;及 时 发 现 并 修复 针对 
主机 的 入侵 攻 击 ;防止 网 络 链 路 被 品 探 动 持 ,对 网 络 链 路 进行 加 密 ; 对 网 络 进行 安全 域 的 
划分 并 进行 隔离 ;对 网 络 进行 最 小 化 访问 权限 控制 ;等 等 。 对 基础 设施 要 做 好 数据 采集 和 
处 理 ,为 后 续 的 安全 分 析 和 预警 工作 打下 民 好 的 基础 。 
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对 系统 业务 运营 活动 主要 监测 活动 过 程 可 能 存在 的 安全 风险 ,不 仅 对 业务 前 端 普通 
用 户 的 活动 进行 监控 和 记录 ,对 后 台 管 理 和 运 维 人 员 的 活动 也 要 严格 监测 。 例 如 ,在 经 车 
和 运 维 过 程 中 可 能 会 存在 账号 交叉 使 用 的 现象 ,这 种 情况 经 常 出 现在 经 营 人 员 相 互 蔡 代 
或 运 维 人 员 相 互 瞧 代 的 场景 中 ,这 属于 经 营 和 运 维 过 程 中 的 典型 违规 场景 ,可 能 导致 密 公 
泄露 ,引发 数据 泄露 或 其 他 安全 风险 。 

对 应 用 系统 服务 主要 监测 信息 系统 涉及 的 所 有 子 应 用 服务 ,如 资源 目录 、 数 据 管道 、 
存储 系统 ,后 台 管 理 等 方面 。 检 查 系 统 的 逻辑 漏洞 并 及 时 修复 ,及 时 发 现 针 对 系统 的 漏 酒 
利用 攻击 ,对 系统 中 植 人 的 Webshell 进行 检测 ,对 系统 页 面 中 植 入 的 暗 链 、 页 面 和 性 改 攻击 
等 进行 监测 ,拦截 与 恢复 ,对 系统 的 DNS 支持 攻击 ,仿冒 网 站 钓鱼 网 站 进行 监测 ,对 系统 
的 DDoS 攻击 流量 进行 拦截 与 清洗 。 对 系统 的 访问 账号 进行 统一 管理 ,监测 涉及 数据 库 
账号 的 行为 。 


2.3.7 安全 事件 啊 应 能 


近年 以 来 ,高 等 级 的 安全 应 急 啊 应 活动 越 来 越 频 繁 ,大 规模 DDoS 攻击 、 勒 索 软 件 和 
APT 攻击 等 层出不穷 。 这 种 形式 有 两 个 主要 原因 。 一 方面 ,商业 软件 获得 了 更 大 规模 的 
应 用 ,任何 一 个 商业 软件 出 现 重 大 安全 漏洞 都 会 影响 大 量 的 用 户 ; 另 一 方面 ,各 国 在 网 际 
空间 安全 能 力 耽 争 的 驱动 下 对 汤 洞 挖 所 和 利用 能 力 的 研究 不 断 深 入 ,各 种 挖掘 和 利用 方 
法 不 断 被 发 所 出 来 ,因此 对 于 信息 的 攻击 也 会 越 来 越 频 繁 ,系统 会 遭受 各 种 各 样 的 网 络 安 
全 事件 攻击 。 这 个 趋势 在 未 来 的 一 段 时 间 内 还 将 继续 保持 ,因此 网 络 安 全 事件 啊 应 能 :7 
也 需要 不 断 地 提高 ,以 应 对 这 些 变化 。 

网 络 空间 的 攻防 斗争 也 可 以 借鉴 现实 战争 的 理论 。 美 国 空军 自 第 一 次 世界 大 战 以 来 
一 直 不 断 人 研究 空战 。 多 年 来 ,有 关 空 战 的 不 同 理论 层出不穷 ,不 断 取 得 进步 ,其 中 
JohnBoyd 的 OODA 循环 模型 理论 是 使 用 较为 广泛 的 理论 之 一 。OODA 循环 模型 包括 
观察 .定位 .决策 和 行动 4 个 环节 。 该 理论 在 网 络 空间 安全 领域 同样 适用 。 

网 络 空间 安全 事件 啊 应 能 力也 体现 在 观察 .定位 .决策 和 行动 4 个 方面 : 

(1) 观察 CObserve) 能 力 。 实 时 了 解 网 络 中 所 发 生 的 事件 的 能 力 ,包括 传统 的 被 动 检 
测 方式 、 各 种 已 知 检测 工具 的 报警 或 来 自 第 三 方 的 通报 (如 用 户 或 者 安全 服务 公司 ) 。 除 
此 之 外 ,还 需要 采用 更 积极 的 检测 方式 , 即 由 事件 啊 应 团队 基于 已 知行 为 模式 .情报 甚至 
某 种 经 验 , 积 极地 去 主动 发 现 人 侵 事件 。 

(2) 定位 COrient) 能 力 。 指 根据 相关 的 环境 信息 和 其 他 情报 对 以 下 问题 进行 分 析 的 
能 力 : 这 是 一 个 真实 的 攻击 吗 ? 它 是 否 成 功 ? 它 是 否 损害 了 其 他 资产 ?” 攻击 者 还 进行 了 
哪些 活动 ? 

(3) 决策 (Decision) 能 力 。 指 确定 应 该 做 什么 的 能 力 。 针 对 观察 和 定位 确定 的 攻击 
事件 ,快速 做 出 行动 决策 ,这 里 包括 缓解 清除 .恢复 等 ,同时 也 可 能 包括 选择 请 求 第 三 方 
支持 其 至 反击 。 反 击 往往 涉及 法 律 风 险 , 并 且 容 易 伤 及 无 率 , 在 一 般 情 况 下 不 是 好 的 

(4) 行动 (Action) 能 力 。 指 能 够 根据 决策 快速 展开 相应 活动 的 能 力 。 这 需要 安全 运 维 
团队 有 较 好 的 应 急 啊 应 预案 ,并且 训练 有 素 ,在 最 短 的 时 间 内 针对 安全 事件 完成 啊 应 工作 。 
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2.3.8 数据 关联 与 安全 分 析 

随 着 复杂 信息 系统 的 规模 逐渐 扩大 ,功能 不 断 增多 ,网 络 空间 出 现 了 各 种 安全 威胁 。 
为 了 处 理 海量 的 、 多 元 异 构 的 并 且 具 有 动态 特性 的 安全 数据 ,就 必须 进行 安全 数据 的 关联 
分 析 和 融合 。 

首先 进行 数据 的 降 维 处 理 , 针 对 安全 业务 的 相关 性 ,剔除 安全 数据 中 的 无 关 属 性 ,并 
有 旦 建立 一 定 的 数学 模型 ,对 与 安全 事件 或 安全 行为 关系 密切 、 指 问 重 复 或 相似 的 信息 属性 
进行 整合 ,降低 安全 数据 的 整体 维度 ,有 利于 安全 事件 的 进一步 分 析 。 

其 次 进行 安全 数据 的 关联 分 析 ,主要 包括 安全 数据 与 信息 系统 各 组 成 部 分 的 实体 相 
关联 和 安全 数据 与 安全 事件 相关 联 两 个 方面 。 安 全 数据 与 信息 系统 实体 的 关联 分 析 主 要 
依 笔 数 据 的 属性 、 网 络 流 量 等 ,安全 数据 与 安全 事件 的 关联 分 析 则 需要 进一步 的 理论 研 
究 实验 和 长 期 的 运 维 经 验 。 安 全 数据 的 关联 分 析 是 对 网 络 中 各 种 安全 设备 进行 统一 管 
理 , 对 各 个 设备 中 分 散 的 .多 样 化 的 安全 事件 信息 进行 综合 统一 分 析 处 理 , 从 中 发 现 各 种 
安全 迹象 和 征兆 ,从 而 有 效 地 预防 各 种 入 侵 、 攻 击 , 以 提高 网 络 的 整体 安全 性 。 为 了 达到 
更 有 效 的 安全 一致 性 管理 的 目的 ,需要 从 分 散 的 事件 源 中 集中 收集 .规范 .聚集 及 关联 事 
件 日 志 数 据 ,以 此 发 现 网 络 中 潜在 的 安全 漏洞 及 可 能 的 攻击 者 人 侵 和 病毒 活动 。 

安全 事件 关联 是 整个 展示 决策 层 安 全 运 维 工作 的 核心 部 分 之 一 ,负责 分 析 来 自 网 络 
事件 源 的 事件 ,并 及 时 进行 响应 。 安 全 事件 关联 分 析 的 一 般 流 程 如 图 2-15 所 示 , 数 据 库 
服务 需 包 括 事件 库 .规则 库 和 策略 库 。 其 中 ,事件 库存 放 收 集 的 安全 事件 ,规则 库存 放 事 
件 相 关 性 分 析 的 规则 ,策略 库存 放 需 要 采取 的 策略 。 分 析 引 警 从 经 过 预 处 理 过 的 事件 库 
中 抽取 有 用 的 信息 ,采用 基于 规则 和 基于 统计 的 分 析 方 法 ,综合 分 析 事 件 库 的 安全 事件 ， 
从 而 重 构 整 个 攻击 场景 ,降低 误 报 率 , 玫 助 安全 运 维 人 员 发 现 网 络 中 湾 在 的 安全 隐患 。 啊 
应 单元 主要 负责 对 分 析 引 擎 的 分 析 结 果 依 据 策 略 数 据 库 中 的 策略 进行 及 时 啊 应 ,并 在 事 
件 分 析 过 程 中 不 断 丰 富 策略 库 。 啊 应 指 的 是 高 危险 级 的 实时 报警 。 将 其 他 分 析 结 果 形 成 
评估 报告 呈现 给 管理 员 。 


击 ” | > 
规则 库 策略 库 
| 


前 期 处 理 后 | 
的 数据 输入 | 


图 2-15 “安全 事件 关联 分 析 的 一 般 流 程 


将 安全 事件 .故障 告警 事件 与 当前 网 络 . 业务 .设备 的 实际 运行 环境 .状态 .重要 程度 进 
行 关联 ,通过 更 广 沁 的 信息 相关 性 分 析 , 识 别 安 全 威胁 。 安 全 事件 关联 可 以 根据 事件 的 特 操 
结合 不 同情 境 进行 关联 分 析 ,扩展 成 不 同 的 功能 。 安 全 事件 关联 可 以 包括 以 下 几 种 关联 : 
(1) 与 漏洞 信息 关联 。 将 安全 事件 与 该 事件 所 针对 的 当前 目标 资产 的 漏洞 信息 进行 
关联 ,包括 端口 关联 和 漏洞 编号 关联 。 例 如 ,IDS 告警 信息 如 下 : 源 IP 地 址 对 目的 IP 地 
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址 进行 漏洞 攻击 ,目的 IP 地 址 存在 某 个 编号 的 漏洞 ,该 漏洞 是 高 危 漏 洞 。 

(2) 与 资产 信息 关联 。 将 事件 中 的 IP 地 址 与 资产 价值 .资产 类 型 . 目 定 义 资产 属性 
等 进行 关联 ,以 判断 事件 的 准确 性 与 风险 程度 。 例 如 ,IDS 告警 信息 如 下 : 源 IP 地 址 对 
目的 IP 地 址 进行 SQL 注入 攻击 ,目的 IP 地址 是 一 个 Web 应 用 服务 器, 该 Web 应 用 是 
一 个 机 密 性 很 高 的 系统 。 

(3) 与 性 能 状态 关联 。 将 事件 中 的 IP 地 址 与 设备 的 当前 对 应 性 能 指标 关联 ,以 判断 
事件 的 准确 性 与 风险 程度 。 例 如 ,IDS 告警 信息 如 下 : 源 IP 地 址 对 目的 IP 地址 进行 
SYN 攻击 ,并 且 目 的 IP 地址 的 啊 应 参数 明显 降低 或 不 啊 应 。 

(4) 与 网 络 状态 关联 。 将 安全 事件 与 该 事件 所 针对 的 目的 资产 (或 发 起 攻击 的 源 资 
产 ) 当 前 的 告警 信息 以 及 当前 的 网 络 告 警 信 息 进 行 关 联 。 例 如 ,IDS 告警 信息 如 下 : 存在 
ARP 攻击 ,发生 攻击 的 网 段 大 部 分 设备 掉 线 ,只 有 某 台 设备 在 线 , 基 本 可 以 判定 该 设备 就 
是 攻击 源 。 

(5) 与 物理 拓扑 关联 。 根 据 网 络 物理 拓扑 信息 进行 网 络 连接 关联 分 析 与 网 络 路 径 可 
达 性 检测 , 目 动 进行 网 络 根 本 故障 源 定 位 。 例 如 , 某 区 域 终端 设备 突然 全 部 抒 线 ,这 些 终 
应 都 连接 同一 个 交换 设备 ,该 交换 机 也 处 于 抒 线 状态 ,该 交换 机 上 联 的 网 络 设备 在 线 , 基 
本 可 以 判定 该 交换 机 是 故障 源 。 

接 下 来 是 安全 数据 的 融合 工作 。 网 络 攻击 手段 的 融合 促成 了 对 抗 攻击 手段 的 融合 ， 
不 同 设 备 .不 同类 型 的 安全 数据 的 融合 有 利于 网 络 安全 事件 的 绽 合 分 析 ,增强 网 络 安全 管 
理 的 有 效 性 ,并 形成 对 系统 整体 环境 的 安全 性 水 平 的 评价 。 数 据 融 合 主要 分 为 3 个 层次 ， 
即 原始 数据 融合 、 特 征 级 的 融合 以 及 决策 级 融合 。 

(1) 原始 数据 融合 是 指 直 接 在 采集 到 的 原始 数据 上 进行 融合 ,是 最 低级 的 融合 方式 ， 
能 够 保持 最 多 的 数据 和 细节 信息 ,但 是 数据 量 过 大 ,融合 的 代价 高 ,时 间 长 。 

(2) 特征 级 的 融合 是 在 数据 融合 之 前 对 其 进行 特征 提取 和 处 理 , 并 对 特征 信息 进行 
融合 ,有 效 的 压缩 了 数据 量 和 融合 成 本 。 

(3) 决策 级 的 融合 是 一 种 高 层次 的 融合 方式 ,利用 多 种 信息 得 到 文 返 决 条 的 融合 结 
果 。 这 是 复杂 信息 系统 的 安全 体系 应 采用 的 数据 融合 方式 。 具 有 较 高 的 容错 性 和 抗 干扰 
性 ,能 够 文 撑 较 大 规模 的 安全 运 维 工 作 。 

对 安全 数据 进行 有 效 的 降 维 处 理 . 关 联 、. 融合 后 , 即 可 开展 有 具体 的 安全 分 析 。 安 全 分 
析 可 以 大 致 分 为 3 个 阶段 , 即 基础 的 安全 数据 分 析 .基于 安全 数据 的 行为 分 析 以 及 基于 人 
工 智能 的 安全 分 析 和 预警 。 

基础 的 安全 数据 分 析 包 括 系 统 的 脆弱 性 分 析 安全 威胁 分 析 、 网 络 异 币 流 量 分 析 以 及 
与 安全 事故 直接 相关 的 安全 设备 或 子 系统 的 日 志 分 析 等 。 其 主要 目的 是 掌握 安全 事件 的 
基本 信息 ,收集 线索 和 素材 ,确定 安全 威胁 的 范围 和 可 能 造成 的 影响 等 ,为 安全 运 维 和 防 
护 工 作 提 供 基 本 的 参考 资料 。 典 型 的 告警 应 用 场景 包括 异地 查询 .异地 登录 .数据 非法 访 
问 .频繁 访问 .异常 访问 等 ,典型 的 预警 应 用 场景 包括 未 知 的 访问 .重点 CA 保护 .客户 端 
访问 排行 .访问 回溯 等 。 

基于 安全 数据 的 行为 分 析 则 是 在 安全 数据 分 析 基 础 上 的 进 阶 工作 ,需要 通过 一 定 的 
数学 建 模 ,积累 一 定 的 安全 运 维 经 验 , 结 合 关 联 的 安全 数据 .安全 设备 实体 .网 络 流量 等 多 
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方面 因素 ,分 析 在 安全 事件 发 生 的 过 程 中 攻击 者 ,用户 、 管 理 痢 .系统 各 组 成 单元 等 不 同 角 
色 的 行为 ,从 而 发 现 安全 事件 产生 的 原因 和 具体 过 程 ,得 到 完整 的 安全 事件 的 相关 信息 。 

基于 人 工 镶 能 的 安全 分 析 和 预 屠 是 安全 分 析 的 局 级 形态 ,通过 系统 安全 运 维 积 宗 的 
大 量 经 验 和 各 种 安全 数据 ,提取 安全 事件 的 攻击 特征 和 基本 行为 ,并 根据 这 些 特征 和 行为 
进行 机 各 学 习 或 深度 学 习 , 通 过 训练 得 到 有 具有 较 好 的 安全 分 析 和 判断 能 力 的 数学 模型 。 
进一步 的 提高 和 优化 人 工 镶 能 的 性 能 ,使 其 最 终 可 以 用 来 动态 判断 未 知 的 新 型 攻击 行为 
或 事件 ,达到 安全 预警 的 目的 。 


2.3.9 可视化 与 决策 


可 视 化 技术 在 网 络 安全 领域 应 用 非常 广泛 。 在 数据 驱动 安全 的 概念 流行 的 今天 ,每 
个 安全 厂商 都 希望 展现 目 己 在 数据 方面 的 实力 ,无 论 数 据 的 丰 蜗 程度 或 者 及 时 性 都 可 以 
通过 可 视 化 很 好 地 展现 出 来 。 

业内 对 可 视 化 的 最 大 期 待 是 在 安全 分 析 上 ,希望 通过 可 视 化 方式 让 大 数据 更 好 地 被 
使 用 ,为 用 户 产 生 价 值 。 可 视 化 应 用 的 场景 包括 安全 分 析 的 异常 发 现 、 误 报 分 析 、 调 查 取 
证 和 关联 分 析 等 阶段 。 大 数据 可 视 化 日 前 还 处 在 起 步 阶 段 , 而 可 视 化 技术 和 数据 挖掘 一 
样 , 属 于 器 领域 的 专业 , 却 没 有 像 数 据 挖 所 一 样 被 正确 认识 ,安全 领域 的 专家 和 数据 挖掘 
算法 数理 统计 方面 的 团队 协同 工作 ,但 可 视 化 在 很 多 时 候 往 往 被 认为 是 设计 师 和 前 端 开 
发 的 工作 ,这 种 认识 使 得 国内 安全 行业 的 可 视 化 发 展 缓慢 ， 

安全 态势 可 视 化 是 企业 信息 系统 安全 运 维 工作 的 重要 内 容 , 能 够 展示 企业 安全 状态 
的 真实 信息 ,反映 安全 运 维 工 作 的 效果 。 安 全 态势 可 视 化 根据 发 展 历 程 来 分 ,主要 有 4 种 
技术 : 基于 单条 告警 的 列表 展示 模式 、 基 于 统计 图 表 展 示 模 式 、 基 于 自动 化 关联 分 析 的 图 
形 展 示 模 式 、 基 于 WebGL 的 3D 可 视 化 展示 模式 。 


1. 基于 单条 告警 的 列表 展示 模式 

基于 单条 告 窟 的 列表 展示 模式 是 最 常用 的 一 种 告 雹 展示 模式 ,其 主要 特点 是 以 表格 
形式 呈现 ,针对 一 条 告警 可 以 显示 多 个 重要 的 维度 ,同时 针对 多 个 告 雹 还 可 以 通过 不 同 的 
维度 进行 电 选 。 其 优 氮 是 实现 简单 ,符合 一 般 客 户 的 使 用 习惯 ,但 是 缺点 也 较为 明显 ,无 
法 展示 各 个 告警 之 间 的 关联 性 ,不 能 看 到 整体 的 安全 状态 。 


2. 基于 统计 图 表 展 示 模 式 

基于 统计 图 表 展 示 是 目前 大 多 数 安 全 产品 的 主流 展示 模式 ,其 通过 对 不 同 的 安全 设 
备 告 窟 数据 进行 统计 ,将 结 采 以 柱状 图 . 饼 状 图 或 折线 图 等 图 形 的 方式 展示 ,可 以 有 效 地 
展示 安全 设备 所 属 信息 系统 在 一 段 时 间 内 的 安全 状况 ,相对 于 单条 千 冤 的 展示 模式 更 加 
直观 明显 。 但 是 其 缺点 在 于 图 表 数 量 较 多 ,内 容 较为 复杂 ,需要 有 详细 的 解释 说 明 ,对 于 
非 专 业 人 员 来 说 理解 起 来 相对 困难 。 


3. 基于 自动 化 关联 分 析 的 图 形 展示 模式 
基于 日 动 化 关联 分 析 的 图 形 展示 模式 使 得 安全 结 来 的 展示 更加 直观 ,如 对 安全 告 睿 
在 图 形 中 进行 标注 并 日 动 连 线 进行 关联 分 析 等 。 要 实现 安全 数据 的 日 动 化 关联 ,就 必须 
解决 海量 数据 的 实时 计算 问题 。 
DZ 


4. 基于 WebGL 的 3D 可 视 化 展示 模式 

基于 WebGL 的 3D 可 视 化 展示 模式 是 目前 最 先进 的 技术 ,通过 3D 可 视 化 技术 ,可 
对 原本 酚 片 化 的 威胁 告警 . 异 凋 行为 告警 .资产 管理 等 数据 进行 结构 化 处 理 , 形 成 高 维度 
的 可 视 化 方案 。 将 企业 的 整体 安全 态势 直观 地 展现 出 来 ,使 得 企业 管理 者 能 够 全 面 了 解 
企业 的 安全 威胁 。 

3D 可 视 化 技术 的 优势 是 利用 大 数据 安全 分 析 及 态势 感知 技术 平台 使 得 安全 态势 一 
目 了 然 ,不 仅 币 来 了 企业 用 户 的 民 好 体验 ,同时 还 有 效 地 提高 了 安全 监控 的 效率 。 
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综合 前 面 介绍 的 安全 运营 体系 建立 的 企业 信息 系统 安全 拓扑 结构 如 图 2-16 所 示 。 
在 网 络 的 不 同位 置 分 别 部 署 了 不 同 的 安全 设备 和 安全 系统 。 在 第 3 章 将 分 别 介绍 这 些 安 
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图 2-16 企业 信息 系统 安全 拓扑 结构 
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全 设备 和 系统 。 以 下 是 主要 的 安全 设备 和 安全 系统 ， 
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。 为 保障 企业 信息 系统 的 安全 ,在 核心 交换 机 与 高 器 路 由 带 之 间 配 置 了 下 一 代 防 火 
墙 、 上 网 行为 管理 设备 和 入 侵 防 御 系统 。 

。 机 房 A( 即 DMZ) 与 核心 交换 机 之 间 配 置 了 Web 应 用 防火 墙 。 

。 机 房 B( 即 内 部 安全 域 ) 与 核心 交换 机 之 间 也 配置 了 防火 墙 。 

。 为 保护 财务 部 的 敏感 数据 ,在 其 市 点 交换 机 前 配置 了 入 侵 防 御 系 统 。 

。 为 防止 财务 部 员工 私 建 热点 ,财务 部 配置 了 无 线 入 侵 防 御 系 统 。 

。 技术 部 配置 了 源 代 码 安 全 检测 系统 ,用 以 测试 新 开发 软件 的 漏洞 。 

。 为 实现 终端 的 防 病毒 和 时 面 管理 功能 ,在 所 有 部 门 办 公主 机 上 部 署 了 终端 安全 管 

理 系统 。 

除 财务 部 以 外 的 部 门 ,为 实现 安全 移动 办 公 , 配 置 了 移动 终端 安全 管理 系统 。 

在 网 络 中 还 配置 了 日 志 收 集 与 分 析 系 统 、 漏洞 扫 朱 系统 以 及 SSL VPN 等 安全 

设备 。 


. 信息 系统 的 安全 主要 分 为 哪 5 个 层次 ? 

. 简 述 信息 系统 安全 运营 的 目标 。 

. 简 述 信息 系统 的 安全 等 级 划分 。 

. 什么 是 PDRR 模型 ? 

. 什么 是 PPDR 模型 ? 

. 曾 述 信息 系统 安全 运营 的 架构 。 

. 企业 信息 系统 安全 运营 体系 框架 分 为 哪 两 个 框架 ? 

. 写 出 5 个 信息 系统 安全 和 运 和 总 的 原则 。 

. 简 述 企业 信息 系统 安全 体系 的 总 体 规 划 。 

10. 什么 是 安全 域 ? 在 企业 信息 系统 中 , 它 的 基本 划分 是 怎样 的 ? 
11. 社会 秩序 、 公共 利益 受到 严重 损害 是 第 几 级 安全 保护 等 级 ? 
12. 简 述 安全 风险 评估 的 步骤 。 

13. 虚拟 层 是 什么 ? 简 述 虚拟 层 的 安全 需求 分 析 。 

14. 信息 系统 安全 运 维 的 模式 有 哪 几 种 ?比较 它们 的 优 劣 。 
15. 信息 系统 的 日 第 运行 管理 需要 完成 哪些 任务 ? 

16. 简 述 信息 系统 安全 运 维 体系 的 层次 。 

17. 数据 关联 与 安全 分 析 的 一 般 流 程 是 什么 ? 
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网 络 安全 体系 框 染 是 整个 信息 系统 安全 的 核心 ,其 建设 得 成 功 与 否决 定 大 整个 信息 
系统 的 安全 。 网 络 安全 设备 与 企业 信息 系统 安全 生 接 相关 ,网 络 安 全 的 各 种 策略 和 管理 
手段 都 必须 依 徘 网 络 安全 的 各 种 软 便 件 才能 最 终 实 施 。 因 此 ,需要 在 各 位 置 按 需 部 萌 网 
络 安全 软 便 件 ,以 构建 一 个 安全 的 网 络 环境 。 

前 面 介 绍 过 网 络 安全 请 动 标 扩 模型 ,次 明了 安全 防护 措施 的 构建 是 一 个 登 加 淘 进 的 
过 程 ,后面 每 一 个 阶段 都 依赖 前 一 阶段 的 建设 。 企 业 信 息 系 统 的 安全 建设 和 安全 运 俏 工 
作 是 一 个 漫长 而 持续 的 工作 ,因此 打 好 基础 非 党 重要。 本章 主要 介绍 在 架构 安全 和 被 动 
防御 阶段 。 企 业 网 安全 防护 措施 中 最 第 使 用 的 安全 设备 。 


3.1 安全 设备 概述 


安全 变 备 是 指 企业 在 生产 经 萌 活 动 中 为 了 将 危 隘 有 害 因素 控制 在 安全 范围 内 ,以 减 
少 预防 和 请 际 危 害 所 配备 的 便 件 设备 和 软件 系统 。 而 在 本 划 中 主要 介绍 的 是 常见 的 安 
全 设备 ,如 防火 增 、 入 侵 防 御 系 统 、VPN 和 杀毒 软件 等 。 安 全 设备 能 够 实现 相应 的 网 络 安 
全 防护 手段 ,能 抵御 大 部 分 网 络 安全 威胁 ,从 而 完成 信息 系统 安全 保障 的 任务 。 


3.1.1 网 络 安全 设备 的 评估 
本 节 从 以 下 7 个 方面 介绍 网 络 安全 准备 的 评估 方法 ，。 


1. 目 身 安全 性 

网 络 安全 设备 月 身 的 安全 性 是 衡量 一 个 安全 产品 成 熟 度 的 重要 指标 之 一 。 例 如 , 防 
火 墙 产 品 作为 企业 网 络 安全 的 第 一 所 防线 ,其 日 映 的 安全 性 、 抗 攻击 的 稳定 性 非常 重要 。 
当 验 证 菏 一 网 络 安全 产品 目 身 安全 性 时 ,可 通过 其 他 狂 洞 扫描 工具 和 专业 的 渗透 工具 等 
对 网 络 安全 设备 进行 扫 摘 ,评估 其 是 否 存在 网 络 安全 漏洞 ;同时 也 可 以 依托 第 三 方 评测 机 
构 对 网 络 安全 设备 的 安全 性 进行 检测 。 


2. 防御 能 力 

网 络 安全 设备 对 于 网 络 安全 攻击 的 防御 能 力 是 衡量 安全 产品 能 否 真 正 适用 于 恶劣 的 
网 络 攻 击 环境 、 完 成 网 络 安全 防护 的 重要 标准 。 一 般 的 企业 很 难 采 用 专业 的 手段 对 网 络 
安全 设备 的 网 络 攻 击 防 御 能 力 进 行 严 格 的 评估 和 测试 。 例 如 , 当 用 户 购买 抗 DDoS 攻击 
设备 时 ,企业 自身 无 法 模拟 大 规模 的 DDoS 攻击 。 因 此 ,对 于 网 络 安全 设备 的 网 络 攻击 防 
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御 能 力 , 可 以 参考 权威 机 构 的 检测 报告 ,办 以 检测 软件 进行 评估 
3. 运 维 管理 
优秀 的 网 络 安 全 产品 一 定 具备 出 色 的 安全 运 维 管理 功能 。 网 络 安全 运 维 人 员 能 够 简 
便 、 有 效 地 完成 网 络 安全 设备 的 运 维 管理 工作 ,通过 运 维 管理 界面 清晰 明了 的 掌握 网 络 安 
全 产品 的 运行 状况 。 通 常 网 络 安全 产品 的 运 维 管理 需要 完成 以 下 常见 功能 : 帮助 用 户 快 
速 部 署 网 络 安全 策略 ,清晰 ,快速 地 展示 当前 系统 的 运行 情况 ,帮助 网 络 安全 运 维 人 员 快 
速 、 有 效 地 发 现 威胁 信息 。 


网 络 安 全 产品 的 稳定 性 是 一 个 长 期 的 评估 指标 ,难以 通过 短期 的 测试 和 试用 来 进行 
准确 评估 。 评 估 安 全 产品 的 稳定 性 ,一 般 从 年 度 销售 额 .产品 在 线 运行 的 数量 、 错 误 报告 
率 等 方面 进行 衡量 。 


5. 性 能 

网 络 安全 产品 的 性 能 是 评估 安全 产品 的 重要 指标 。 近 年 来 , 随 看 网 络 安全 技术 的 不 
呆 发 展 , 各 种 网 络 设备 不 断 增加 新 功能 ,对 于 和 凋 规 功能 (如 防火 才 的 生 吐 量变 备 并 发 连接 
数 和 设备 新 建 连接 数 等 ) 的 检测 不 足以 全 面 评 佑 网 络 安全 产品 实际 性 能 。 评 佑 性 能 的 方 
法 除 实 际 测 试 外 ,还 可 伟 助 专业 设备 进行 测试 并 生成 分 析 报 告 。 


6. 服务 啊 应 能 力 

网 络 安 全 议 备 厂商 的 服务 啊 应 能 力 直 接头 系 到 网 络 安全 产品 售后 的 支持 。 网 络 安全 
设备 厂商 应 该 具备 快速 的 服务 啊 应 能 力 和 专业 的 服务 啊 应 团队 , 除 凋 规 的 设备 正 背 啊 应 
外 ,还 能 啊 应 新 威胁 发 生 时 的 各 种 应 急 处 理 。 


7. 性 价 比 
网 络 安 全 产品 的 性 价 比 是 采购 设备 时 需要 重点 考量 的 指标 之 一 。 评 佑 一 球 网 络 安全 
产品 的 性 价 比 应 从 是 否 完 全 能 够 满足 用 户 的 需求 和 价格 这 两 个 角度 进行 。 


3.1.2 安全 设备 采购 与 部 着 


随 看 网 络 空间 安全 行业 的 发 展 ,目前 市 场 上 的 网 络 安全 产品 种 类 苔 多 ,不 能 只 依据 网 
络 安 全 厂商 的 概念 宣传 末 购 产品 。 在 莹 多 的 网 络 安 全 产品 中 进行 选择 时 ,不 仪 需 要 考虑 
品牌 ,销量 和 功能 等 第 规 因 系 ,还 需要 依据 目 身 的 需求 对 安全 产品 进行 验证 性 测试 ,根据 
信息 系统 的 安全 需求 选择 合适 的 安全 产品 。 

一 般 的 网 络 安全 产品 采购 流程 如 下 : 育 和 完 对 多 家 安全 厂商 的 安全 产品 进行 比 对 ; 然 
后 对 产品 的 功能 .性 能 .专业 化 程度 ,产品 的 成 束 度 等 方面 进行 评 佑 ; 接 下 来 还 需要 根据 信 


县 系统 规模 对 产品 的 性 能 进行 评 佑 。 从 信息 系统 的 网 络 安 全 需求 出 发 评估 安全 产品 ,在 
购买 网 络 安全 产品 时 需要 考虑 信息 系统 的 网 络 和 业务 特点 .网络 安全 的 需求 。 


网 络 安全 议 备 采购 到 位 以 后 ,应 当 根 据 系统 安全 体系 的 规划 ,将 网 络 安全 设备 部 着 到 
网 络 的 相应 位 置 。 企 业 信 息 系 统 主要 分 为 接 入 区 、 核 心 交 换 区 、 业 务 应 用 区 和 安全 管 
理 区 。 
ob6 
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(1) 接 人 区 主要 负责 信息 系统 对 外 的 所 有 通信 接 人 任务 ,包括 互联 网 接 人 、 分 文 机 构 
接 入 以 及 第 三 方 接 入 。 接 入 区 是 信息 系统 对 外 通信 的 必 经 之 路 ,对 抵御 外 部 的 攻击 以 及 
内 部 的 信息 防 泄露 有 着 至 关 重 要 的 作用 。 接 人 区 主要 部 署 防 火 墙 .流量 控制 网 关 和 安全 
网 关 等 设备 。 

(2) 核心 交换 区 是 信息 系统 数据 交换 最 重要 的 区 域 ,由 内 到 外 和 由 外 到 内 的 所 有 数 
据 都 应 该 接受 安全 检查 ,在 核心 交换 区 内 劳 路 部 署 安全 审计 系统 ` 人 侵 检 测 系统 和 人 侵 防 
御 系 统 等 ,实时 地 进行 流量 监控 和 预警 。 

(3) 业务 应 用 区 是 企 事业 单位 信息 系统 的 工作 主体 ,所 有 的 功能 都 是 为 业务 的 正常 
开展 提供 服务 。 业 务 应 用 区 一 般 分 为 对 外 业务 .核心 业务 以 及 内 部 应 用 等 。 通 第 ,业务 应 
用 区 还 部 区 磁盘 阵列 以 及 存储 保护 设备 等 。 在 一 些 对 安全 要 求 较 高 的 场景 中 ,存储 功能 
可 以 单独 划分 一 个 区 域 ,进行 独 立 的 安全 防护 。 

(4) 安全 管理 区 主要 负责 安全 运 维 管理 工作 ,也 是 信息 系统 中 支撑 业务 安全 运行 的 
最 主要 的 保障 。 安 全 管理 区 通 稼 部 署 集中 的 安全 管理 平台 和 安全 运 维 需要 的 各 类 设备 ， 
如 漏洞 扫描 系统 .补丁 分 发 服务 器 、4A 应 用 系统 、 域 加 防火 墙 \ 入 侵 检 测 系 统 、 入 侵 防 御 
系统 和 堡 仅 机 等 。 

网 络 安全 设备 部 署 完 成 后 ,需要 对 日 党 的 网 络 安全 设备 进行 安全 运 维 管理 。 企 业 的 
安全 运 维 人 员 对 安全 设备 进行 维护 ,从 而 发 现 企 业 中 存在 的 各 种 安全 隐患 ,保障 企业 的 信 
息 安 人 全。 网 络 安全 问题 发 现 得 越 早 ,受到 的 损失 就 会 越 小 ,修补 的 代价 也 会 越 小 。 所 有 的 
安全 策略 的 设计 和 设备 的 运 维 都 需要 依靠 有 经 验 的 网 络 安全 运 维 人 员 ,因此 ,在 网 络 安全 
的 所 有 环节 中 ,网 络 安 全 运 维 人 员 投 入 非常 重要 。 

以 下 各 章节 中 将 选取 关键 的 网 络 安 全 设备 进行 详细 闻 述 。 


3 2 防火 墙 


防火 墙 (firewall) 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信任 的 公共 
网 ) 或 网 络 安全 域 (security zone) 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 
域 之 则 信息 的 唯一 出 入 口 ,能 根据 企业 的 安全 政策 控制 (人 允许 .拒绝 .监测 ) 出 和 网络 的 信 
息 流 , 且 本 号 具有 较 强 的 抗 攻 击 能 力 。 


1. 防火 墙 的 功能 

随 着 防火 墙 的 不 断 发 展 ,其 功能 越 来 越 丰 宦 , 但 是 防火 墙 最 基础 的 两 大 功能 仍然 是 隔 
离 和 访问 控制 。 隔 离 功 能 就 是 在 不 同 信 任 级 别 的 网 络 之 间 “ 砌 墙 ”; 而 访问 控制 就 是 在 墙 
上 “开门 ”并 设置 “守卫 ”, 按 照 安全 末 上 略 来 进行 检查 和 放行 。 典 型 的 企业 网 防火 墙 部 署 如 
图 3-1 所 示 。 

防火 墙 的 主要 作用 通常 包括 以 下 几 点 。 

1) 基础 组 网 和 防护 功能 

防火 墙 能 满足 企业 环境 的 基础 组 网 和 基本 的 攻击 防护 需求 。 防 火 墙 可 以 限制 非法 用 
户 ( 例 如 黑客 、 网 络 破坏 者 等 ) 进 入 内 部 网 络 , 茜 止 存在 安全 脆 罚 性 的 服务 和 未 授权 的 通信 
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图 3-1 典型 的 企业 网 防火 墙 部 署 


数据 包 进 出 网 络 , 并 对 抗 各 种 攻击 。 

2) 记录 监控 网 络 存 取 与 访问 

防火 墙 是 唯一 的 网 络 接 入 点 ,所 有 进出 的 信息 都 必须 通过 防火 墙 ,所 以 防火 墙 可 以 收 
集 关 于 系统 和 网 络 使 用 与 误 用 的 信息 并 生成 日 志 记 录 。 通 过 防火 墙 可 以 很 方便 地 监视 网 
络 的 安全 状况 ,并 在 异常 时 给 出 报警 提示 。 

3) 限定 内 部 用 户 访 问 特殊 网 站 

防火 墙 通 过 用 户 身 份 认 证 来 确定 合法 用 户 , 并 通过 事先 确定 的 完全 检查 策略 来 决定 
内 部 用 户 可 以 使 用 的 服务 ,以 及 可 以 访问 的 网 站 。 

4) 网 段 隔 离 

利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 网 络 中 网 段 的 隔离 ,防止 由 于 影响 一 个 网 段 的 
问题 通过 整个 网 络 传播 ,限制 了 局 部 重点 或 敏感 网 络 安 全 问题 对 全 局 网 络 造成 的 影响 , 同 
时 保护 一 个 网 段 不 受 来 自 网 络 内 部 其 他 网 段 的 攻击 ,保障 网 络 内 部 敏感 数据 的 安全 。 

5) 网 络 地 址 转换 

防火 墙 可 以 作为 部 署 NAT 的 逻辑 地 址 ,以 缓和 
网 络 服务 提供 商 时 审 来 的 重新 编 址 的 及 烦 。 


2. 防火 墙 的 部 署 

在 部 署 防火 载 时 ,首先 要 规划 安全 域 , 明 确 不 同等 级 安全 域 相 互 访问 的 安全 策略 , 然 
后 再 确定 防火 墙 的 部 署 位 置 以 及 防火 墙 接口 的 工作 模式 。 防 火 墙 上 通常 预定 义 了 3 类 安 
全 区 域 : 受信 区 域 (Trust) . 非 军 事 化 区 域 (DMZ) 和 非 受信 区 域 C(Untrust) ,用 户 可 以 根据 
需要 目 行 添加 新 的 安全 区 域 。 

受信 区 域 ,通常 用 于 定义 企 事 业 用 户 内 部 网 络 所 在 区 域 。 

DMZ 也 称 为 隔离 区 , 它 是 为 了 解决 安 交 防火墙 后 外 部 网 络 不 能 访问 内 部 网 络 服务 大 
的 问题 而 设立 的 一 个 非 安 全 系统 与 安全 系统 之 则 的 缓冲 区 ,这 个 缓冲 区 是 不 同 于 外 网 或 
内 网 的 特殊 网 络 区 域 , 通 妆 放置 一 些 不 含 机 密 信息 的 公用 服务 器 ,例如 Web 服务 右 、 邮 件 
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服务 硕 、FTP 服务 天 等 。 这 样 ,来 目 外 网 的 访问 者 可 以 访问 DMZ 中 的 服务 ,但 不 可 能 接 
触 到 存放 在 内 网 中 的 公司 机 密 或 私人 信息 等 。 即 使 DMZ 中 的 服务 需 受 到 攻击 ,也 不 会 
对 内 网 中 的 机 密 信 息 造 成 影响 。 

非 受 信和 区域 ,通常 是 指 外 部 网 络 的 互联 网 区 域 。 

在 一 般 的 防火 载 部 罩 方 案 中 包括 两 类 防火 墙 : 外 部 防火 志和 内 部 防火 场 。 外 部 防火 
墙 抵挡 外 部 网 络 的 攻击 ,并 管理 所 有 内 部 网 络 对 DMZ 的 访问 。 内 部 防火 墙 管 理 DMZ 对 
于 内 部 网 络 的 访问 。 内 部 防火 墙 是 内 部 网 络 的 第 三 道 安 全 防线 ,第 一 道 和 第 二 道 分 别 是 
外 部 防火 墙 和 保 鸡 主机 。 保 仅 主 机 是 一 种 被 强化 的 、 可 以 防御 攻击 的 计算 机 ,作为 进入 内 
部 网 络 的 一 个 检查 点 ,以 达到 把 整个 网 络 的 安全 问题 集中 在 示人 个 主机 上 解决 ,而 不 用 考虑 
其 他 主机 的 安全 的 目的 。 当 外 部 防火 墙 失 效 的 时 候 , 内 部 防火 墙 可 以 起 到 保护 内 部 网 络 
的 功能 。 而 在 局 域 网 内 部 ,对 于 互联 网 的 访问 由 内 部 防火 墙 和 位 于 DMZ 的 堡 鸡 主 机 控 
制 。 杀 用 这 样 的 结构 ,攻击 者 必须 通过 3 个 独立 的 区 域 ( 外 部 防火 墙 \ 堡 仅 主 机 和 内 部 防 
火 墙 ) 才 能 够 到 达 局 域 网 ,攻击 难度 大 大 提高 ,相应 地 ,内 部 网 络 的 安全 性 也 就 大 大 加 强 
了 ,但 投资 成 本 也 增加 的 。 


3. 防火 墙 的 性 能 指标 

防火 增 主 要 有 网 络 否 吐 量 、 并 发 连接 数 、 新 建 连接 速率 和 应 用 层 性 能 指标 4 个 性 能 
指标 。 

1) 网 络 否 吐 量 

吞吐 量 是 衡量 防火 墙 或 者 路 由 交换 设备 最 重要 的 指标 , 它 是 指 网 络 设 备 在 一 秒 内 处 
理 数 据 包 的 最 大 能 力 。 吞 吐 量 表 示 这 人 台 设 备 在 一 秒 内 能 够 处 理 的 最 大 流量 或 者 说 一 秒 内 
最 多 能 够 处 理 的 数据 包 个 数 。 设 备 的 吞吐 量 越 高 ,能 提供 给 用 户 使 用 的 带宽 越 大 。 依 据 
木 桶 原理 ,网 络 吞 吐 量 取决 于 网 络 中 吞吐 量 的 最 低 设 备 ,足够 的 知 吐 量 可 以 保证 防火 增 不 
会 成 为 网 络 的 瓶颈 。 

并 发 连接 数 是 衡量 防火 墙 性 能 的 一 个 重要 指标 。 因 为 防火 墙 是 唯一 出 口 , 所 有 用 户 
都 要 通过 防火 墙 上 网 ,用户 需 要 打开 很 多 窗口 或 Web 页 面 ( 即 会 话 ) ,防火墙 能 处 理 的 最 
大 会 话 数 量 就 是 最 大 并 发 连接 数 。 最 大 并 发 连接 数 是 对 防火 墙 或 代理 服务 融 对 其 业务 信 
息 流 的 处 理 能 力 的 描述 ,是 防火 墙 能 够 同时 处 理 的 点 对 点 连接 的 最 大 数目 , 它 反映 出 防火 
增设 备 对 多 个 连接 的 访问 控制 能 力 和 连接 状态 跟 踩 能力, 这 个 指标 直接 影 响 防火墙 能 
持 的 最 大 信息 点 数 。 

3) 新 建 连接 速率 

新 建 连接 速率 指 一 秒 以 内 防火 墙 能 够 处 理 的 HTTP 新 建 连 接 请 求 的 数量 。 用 户 每 
打开 一 个 网 页 ,访问 一 个 服务 需 , 在 防火 墙 看 来 就 是 一 个 甚至 多 个 新 建 连接 。 新 建 连接 速 
率 高 的 设备 可 以 供 更 多 人 同时 上 网 ,提升 用 户 的 网 络 体验 。 

4) 应 用 层 性 能 指标 

应 用 层 性 能 指标 包括 应 用 层 吞 吐 量 (HTTP 性 能 ) 和 应 用 层 新 建 连接 速率 (最 大 
HTTP 新 建 连接 速率 )。 这 两 个 指标 可 以 衡量 应 用 引擎 能 力 的 高 低 , 代 表 应 用 层 人 处理 技 
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术 的 有 效 性 和 先进 性 。 较 高 的 应 用 层 性 能 可 以 保障 单位 计算 资源 处 理 更 多 的 应 用 层 数 据 
包 , 更 好 地 满足 应 用 识别 与 控制 需求 。 


33 ”入侵 防 御 系 统 


入 侵 防 御 系 统 (Intrusion Prevention System,1IPS) 是 指 不 但 能 精确 地 检测 到 攻击 行 
为 ,而 且 能 通过 一 定 的 啊 应 方式 实时 地 终止 和 人 侵 行为 的 发 生 , 实 时 地 保护 信息 系统 的 一 种 
智能 化 安全 产品 。 入 侵 防 御 系 统 吸收 .融合 了 防火 墙 和 入 侵 检测 技术 的 特点 ,可 以 为 网 络 
提供 深层 次 的 、 有 效 的 安全 防护 。 


1. 入 侵 防 御 系 统 的 工作 原理 

防火 墙 是 实施 访问 控制 策略 的 系统 ,对 流 经 的 网 络 流量 进行 检查 ,拦截 不 符合 访问 控 
制 策 略 的 数据 包 。 传 统 的 防火 墙 则 在 拒绝 那些 明显 可 疑 的 网 络 流量 ,但 仍然 允许 攻 些 流 
量 通 过 ,因此 传统 的 防火 场 对 于 很 多 人 侵 攻 击 仍 然 无 计 可 施 。 人 侵 检 测 系 统 (Intrusion 
Detection System,1DS) 通 过 监视 网 络 或 系统 资源 ,寻找 违反 安全 末 上 略 的 行为 或 攻击 迹 
象 ,并 发 出 报警 。 绝 大 多 数 入侵 检测 系统 是 被 动 的 ,而 不 是 主动 的 ,因此 ,在 攻击 实际 发 生 
之 前 ,它们 往往 无 法 预先 发 出 警报 。 

入 侵 防 御 系 统 则 借 向 于 提供 主动 防护 ,其 设计 宗旨 是 预先 对 入 侵 活 动 和 攻击 性 网 络 
流量 进行 拦截 ,避免 其 造成 的 损失 ,而 不 是 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。 人 侵 
防御 系统 是 通过 和 直接 佣 人 到 网 络 流量 中 实现 这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 目 
外 部 系统 的 数据 流 , 经 过 检查 确认 其 中 不 包含 异 肖 活动 或 可 疑 内 容 后 ,再 通过 为 一 个 网 络 
亲口 将 它 传 送 到 内 部 系统 中 。 因 此 ,入 侵 防 御 系 统 能 准确 地 阻 断 有 攻击 行为 或 异常 的 数 
据 包 以 及 所 有 来 日 同一 数据 流 的 后 续 数 据 包 与 被 保护 网 络 的 连接 。 


2. 入 侵 防 御 系 统 与 入 侵 检 测 系 统 的 区 别 

从 产品 价值 角度 来 看 ,入 侵 检 测 系统 注重 的 是 网 络 安全 状况 的 监管 ,而 人 侵 防 御 系 统 
天 注 的 是 对 和 人 侵 行 为 的 欣 制 。 与 人 侵 检 测 产 品 实施 的 安全 沫 略 不 同 , 和 人 侵 防 御 系 统 可 以 
实施 深层 防御 安全 束 上 略 ,在 应 用 层 检测 出 攻击 并 子 以 阻 断 。 

从 产品 应 用 角度 来 看 ,为 了 达到 可 以 全 面 检测 网 络 安全 状况 的 目的 ,入 侵 检 测 系 统 需 
要 部 普 在 网 络 内 部 的 关键 万 点 。 如 采信 息 系 统 中 包含 了 多 个 迎 辑 隔离 的 子 网 , 则 需要 在 
整个 信息 系统 中 实施 分 布 部 普 , 即 每 个 子 网 部 普 一 个 人 侵 检 测 分 析 引 车 ,并 统一 进行 人 侵 
检测 分 析 引 擎 的 梨 略 管理 以 及 事件 分 析 , 以 达到 掌控 整个 信息 系统 安全 状况 的 目的 。 而 
为 了 实现 对 外 部 攻击 的 防御 ,入 侵 防 御 系 统 需要 部 普 在 网 络 的 边界 ,使 所 有 来 目 外 部 的 数 
据 必 须 串 行 通过 入 侵 防 御 系 统 , 人 侵 防 御 系 统 即 可 实时 分 析 网 络 数据 ,在 发 现 攻击 行为 时 
艾 即 子 以 阻 断 ,保证 来 目 外 部 的 攻击 数据 不 能 通过 网 络 边界 进入 网 络 。 

入 侵 检测 系统 的 核心 价值 在 于 通过 对 全 网 信息 的 分 析 , 了 解 信息 系统 的 安全 状况 , 进 
而 指导 信息 系统 安全 建设 目标 以 及 安全 策略 的 确立 和 调整 ;而 人 侵 防 御 系 统 的 核心 价值 
在 于 安全 集 略 的 实施 以 及 对 攻击 行为 的 阻 断 。 入 侵 检 测 系统 需要 部 普 在 网 络 内 部 ,监控 
汇 围 可 以 覆 新 整个 子 网 ,包括 来 日 外 部 的 数据 以 及 内 部 终端 之 间 传 输 的 数据 ;入 侵 防 御 系 
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统 则 必须 部 署 在 网 络 边 界 ,抵御 来 自 外 部 网 络 的 入 侵 。 

3. 入 侵 防 御 系 统 的 部 署 

人 侵 防 御 系 统 典 型 的 部 署 方式 是 串 行 接 人 。 在 串 行 接 人 方式 下 ,一般 不 需要 改变 网 
络 拓扑 ,只 需要 将 人 和信 侵 防御 系统 串联 到 防护 链 路 之 间 , 即 可 实现 主动 安全 拦截 攻击 。 其 趾 
行 部 署 的 位 置 有 以 下 两 类 : 

(1) 串 行 部 署 在 内 部 网 络 的 关键 链 路 ,以 防御 来 日 外 部 的 攻击 和 病毒 传播 ,并 有 效 了 
解 和 控制 内 部 应 用 。 

(2) 串 行 部 署 在 DMZ 或 者 数据 中 心 区 ,以 防御 来 自 内 外 网 的 对 Web 服务 器 、FTP 
服务 咒 等 服务 器 的 应 用 层 攻 击 ,或 者 阻 断 来 月 外 部 网 络 的 异 背 行为 。 


3 4 上 网 行为 索 理 设备 


上 网 行为 管理 设备 用 来 对 员工 基于 内 容 的 网 络 访问 行为 进行 管理 。 员 工 的 不 当 网 络 
行为 引发 的 问题 无 法 通过 传统 的 网 络 安全 防护 手段 实现 ,必须 通过 专业 的 上 网 行为 管理 
设备 解决 。 上 网 行为 管理 设备 基于 用 户 、 时 间 、 应 用 .带宽 等 元 素 对 员工 的 上 网 行为 进行 
全 面 而 灵活 的 策略 设置 ,把 网 络 风险 管理 从 被 动 式 响应 管理 提升 为 主动 式 预警 管理 ,从 防 
范 管理 提升 为 控制 管理 ,把 网 络 的 通信 安全 提升 为 应 用 安全 


1. 上 网 行为 管理 设备 的 功能 

上 网 行为 管理 设备 通 冲 具有 以 下 几 个 方面 的 功能 。 

1) 网 页 访问 审计 与 过 滤 

Web 是 互联 网 上 内 容 最 丰 宇 .访问 量 最 大 的 应 用 ,然而 网 页 内 容 恨 和 邯 不 齐 , 充 太 许 多 
暴力 ,色情 以 及 其 他 不 良 信息 ; 此 外 ,大 量 网 络 应 用 (如 P2P、IM、 网 络 电 视 、 游 戏 等 ) 也 借 
助 HTTP 协议 或 者 80 端口 传输 数据 ,一 方面 点 避 防火 墙 的 封 堵 , 男 一 方面 携 囊 病毒、 亚 
意 软 件 ,为 内 网 用 户 带 来 安全 风险 ,并 挤占 网 络 带 宽 。 上 网 行为 管理 设备 通过 预 分 类 过 滤 
技术 、URL 自动 分 类 引擎 以 及 灵活 的 策略 设置 ,对 违反 国家 法 律 .危害 社会 安全 的 内 容 进 
行 过 滤 ,避免 用 户 有 意 或 无 意 地 访问 包含 非法 内 容 的 网 页 , 减 小 病毒 进入 局 域 网 的 概率 ， 
降低 企业 法 律 风 险 ,创造 安全 的 上 网 环境 。 

2) 应 用 控制 

如 果 即 时 通信 、 网 络 游戏 ,在 线 炒 股 等 互联 网 应 用 不 加 管理 ,不 可 避免 地 会 影 啊 员 工 
的 工作 效率 ,造成 企业 人 力 资源 的 严重 浪费 。 上 网 行为 管理 设备 能 够 根据 多 种 条 件 及 其 
组 合 对 网 络 应 用 进行 灵活 的 管理 。 可 以 设立 以 下 条 件 : 

(1) 用 户 .部 门 及 其 组 合 。 

(2) 时 间 段 ,如 上 班 时 间 、 下班 时 间 、 周 末 等 。 

(3) 日 定义 协议 ,对 特定 的 应 用 进行 控制 。 

(4) 对 网 络 应 用 进行 封 堵 、 人 允许 以 及 流量 控制 管理 。 

3) 内 容 审计 和 过 滤 

通过 互联 网 传递 信息 已 经 成 为 企业 的 关键 应 用 ,然而 信息 的 机 蜜 性 、 健 康 性 政治 性 
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等 问题 也 随 之 而 来 。 通 过 上 网 行为 管理 设备 可 以 制定 精细 化 的 信息 收发 监控 策略 ,有 效 
控制 信息 的 传播 范围 ,控制 敏感 信息 的 泄露 ,避免 可 能 引起 的 法 律 风 险 。 上 网 行为 管理 设 
备 可 以 对 邮件 .即时 通信 论坛 发 帖 .搜索 引擎 关键 字 、HTTP 文件 传输 、FTP 文件 传输 等 
内 容 进 行 审 计 和 过 滤 。 

4) 终端 控制 与 准 人 

终 闪 设备 是 网 络 安全 的 主体 ,不 恨 软件 的 使 用 .防护 系统 缺失 都 可 能 刘 来 终 疹 安 全 隐 
患 ,进而 影响 内 部 网 络 安全 。 上 网 行为 管理 设备 能 够 通过 统一 下 发 的 客户 端 软件 ,结合 统 
一 的 策略 配置 ,检测 终端 系统 的 进程 .文件 .注册 表 .操作 系统 及 补丁 .杀毒 软件 及 病毒 库 
等 信息 ,制定 准 人 规则 。 

5) 互联 网 流量 实时 监控 

上 网 行为 管理 设备 支持 管理 员 实 时 地 监控 当前 网 络 活动 ,可 在 第 一 时 间 对 网 络 异常 
进行 定位 分 析 , 包 括 当 前 在 线 用 户 列表 、 当 前 网 络 实时 流量 、 最 近 24h 网 络 流量 变化 情况 、 
本 日 应 用 流量 排名 、 本 日 用 户 流 量 排名 、 本 日 网 站 点 击 量 排名 等 。 


2. 上 网 行为 管理 设备 的 部 署 

上 网 行为 管理 设备 一 般 文 持 多 种 接 人 方式 ,以 适应 不 同 用 户 的 网 络 环境 和 管理 需求 ， 
包括 串联 接 和 人 、 劳 路 接 和 信和 集中 管理 。 串 联接 入 方式 能 实现 对 每 一 种 网 络 应 用 的 精确 控 
制 ,完整 审计 所 有 上 网 数据 。 串 联接 和 人 又 分 为 网 桥 模式 和 了 网关 模式 两 种 。 最 第 匈 的 部 署 
方式 是 串联 网 桥 模式 接 人 人 网络。 上 网 行为 管理 设备 以 透明 网 桥 方式 接 和 网络 ,部 署 到 企 
业 或 部 门 的 网 络 出 口 位 置 ,无 须 改 动用 户 网 络 结构 和 配置 。 串 联接 人 方式 的 由 型 拓扑 如 
图 3-2 所 示 。 
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3 5 Web 应 用 防火 墙 


Web 应 用 防火 墙 (Web Application Firewall,WAE) 用 以 解决 防火 墙 等 传统 网 络 安 
全 设备 无 法 解决 的 Web 应 用 安全 问题 。WAF 通过 执行 一 系列 针对 HTTP/HTTPS 的 
安全 策略 来 专门 为 Web 应 用 提供 防护 。WAF 对 来 自 Web 应 用 程序 客户 端的 各 类 请 求 
进行 内 容 检 测 和 验证 ,确保 其 安全 性 与 合法 性 ,对 非法 的 请 求 予 以 实时 阻 断 ,从 而 对 各 类 
网 站 进行 有 效 防 护 。 

1. WAF 的 功能 

WAF 产品 通常 有 具有 以 下 5 个 方面 的 功能 : 

(1) Web 非 授权 访问 的 防御 功能 。 非 授权 访问 攻击 会 在 客户 端 训 不 知情 的 情 训 下午 
取 客 户 端 或 者 网 站 上 含有 敏感 信息 的 文件 ,如 Cookie 文件 ,通过 盗用 这 些 文件 ,对 一 些 网 
站 进行 未 授权 情况 下 的 行为 操作 ,如 转账 等 。 男 外 ,WAF 产品 必须 具备 针对 路 站 请 求 伪 
造 (Cross-Site Request Forgery,CSRF) 攻 击 的 防御 功能 。 

(2) Web 攻击 的 防御 功能 。 这 类 攻击 主要 包括 SQL 注入 攻击 和 XSS 攻击 。 一 般 来 
说 ,SQL 注入 攻击 利用 Web 应 用 程序 不 对 输入 数据 进行 检查 过 滤 的 缺陷 ,将 恶意 的 SQL 
语句 注入 后 台数 据 库 , 从 而 祝 取 或 臭 改 数据 ,控制 服务 天 。XSS 攻击 指 恶 意 攻 击 者 回 
Web 页 面 中 插入 恶意 代码 , 当 受 害 者 浏览 该 Web 页 面 时 ,能 入 其 中 的 代码 会 被 受害 者 的 


Web 客户 端 执 行 , 达 到 亚 意 攻击 的 目的 。 另 外 ,WAE 产 品 还 应 该 具备 对 应 用 层 DoS 攻击 
的 防御 能 力 。 


(3) Web 恶意 代码 的 防御 功能 。 攻 击 者 在 成 功 人 侵 网 站 后 ,常常 将 木马 后 门 文件 放 
置 在 Web 服务 器 的 站 点 目录 中 ,与 正常 的 页 面 文件 混在 一 起 ,这 就 要 求 WAF 产品 能 准 
确 识 别 和 防御 恶意 代码 。 男 外 ,WAF 产品 还 要 有 对 网 页 挂 马 的 防御 功能 。 一 般 这 类 攻 
击 的 主要 目的 是 让 用 户 将 木马 下 载 到 本 地 ,并 进一步 执行 ,从 而 使 用 户 计算 机 遭 到 攻击 和 
控制 ,最 终 目 的 是 盗 取 用 户 的 敏感 信息 ,如 各 类 账号 、 密 人 码 。 因 此 ,网 页 挂 马 防御 功能 也 是 
WAF 产品 需要 具备 的 基础 功能 。 

(4) Web 应 用 交付 能 力 。 应 用 交付 是 指 借助 WAF 产品 对 网 络 进行 优化 ,确保 业务 
应 用 能 够 快速 、 安 全 可 徘 地 交付 给 用 户 的 内 部 员工 和 外 部 服务 群 。 通 常情 况 下 ,多 服务 
右 人 负载 均衡 是 WAF 产品 常见 的 应 用 交付 形态 。 

(5) Web 应 用 合 规 功能 。 应 用 合 规 是 指 客户 端 或 者 Web 服务 器 各 类 行为 符合 用 户 设 
置 的 规定 要 求 。 例 如 ,基于 URL 的 应 用 层 访问 控制 和 HTTP 请 求 的 合 规 性 检查 部 属于 
Web 应 用 合 规 所 强调 的 功能 。WAF 产品 的 应 用 合 规 已 经 成 为 客户 十 分 重视 的 基础 功能 。 


2. WAF 的 部 署 
通常 情况 下 ,WAF 应 部 署 在 企业 对 外 提供 网 站 服务 的 DMZ 或 者 放 在 数据 中 心服 务 
区 域 , 也 可 以 与 防火 墙 或 IPS 等 网 关 设备 串联 。 总 之 ,WAF 部 署 位 置 是 由 Web 服务 器 的 
位 置 决 定 的 ,因为 Web 服务 需 是 WAF 所 保护 的 对 象 ,部 篆 时 要 使 WAF 尽量 徘 近 Web 
服务 怖 。 甚 部署 模式 一 般 分 为 串联 防护 部 署 模 式 和 劳 路 防护 部 署 模 式 。 串 联防 护 部 署 模 
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式 的 典型 拓扑 如 图 3-3 所 示 。 


续 


> 
Web: 庆 
De 服务 器 


图 3-3 WAF 串联 防护 部 署 模式 的 典型 拓扑 


3 6 无 线 安全 防御 系统 


无 线 安全 防御 系统 实质 上 是 无 线 网 络 层次 上 的 入 侵 防 御 系 统 。 无 线 安全 防御 系统 的 
工作 基础 是 数据 捕获 能 力 四 E 力 ,其 目标 是 精准 识别 攻击 行为 并 快速 对 威胁 进 
行 啊 应 ,不 间断 地 对 无 线 网 络 进行 监测 并 阻 断 无 线 攻击 ,保护 企业 无 线 网 络 边界 安全 。 


1. 无 线 安全 防御 系统 的 功能 

无 线 安全 防御 系统 的 功能 主要 是 无 线 热点 阻 电 和 无 线 攻 击 检 测 。 

1) 无 线 热点 阻 断 

WiFi 热点 是 无 线 网 络 中 转发 数据 的 重要 设备 ,一 旦 企业 热点 被 动 持 ,或 者 热点 本 身 
就 是 作为 攻击 手段 而 被 建立 的 , 即 企 业内 部 出 现 恶 意 热点 ,将 会 对 企业 信息 系统 造成 严重 
的 威胁 。 对 于 恶意 热点 的 防范 而 言 , 有 效 而 精准 的 无 线 热点 阻 断 方式 作为 抑制 攻击 的 防 
御 手 段 在 无 线 安全 防御 系统 中 是 不 可 或 缺 的 。 

2) 无 线 攻 击 检 测 

保证 无 线 网 络 安全 的 关键 任务 是 持续 关注 企业 当前 无 线 网 络 的 安全 状况 。 无 线 安全 
防御 系统 通过 部 署 在 企业 内 部 的 无 线 数据 收发 引擎 装置 ,持续 捕获 当前 无 线 环境 中 所 有 
的 数据 流量 ,并 将 数据 流量 实时 传输 到 中 控 服 务 器 进行 安全 性 分 析 , 从 而 能 够 针对 无 线 网 
络 数据 链 路 层 的 无 线 网 络 攻击 行为 进行 精准 识别 。 一 旦 发 现 恶 意 行为 ,立即 通知 收发 引 
擎 采取 相应 措施 ,将 威胁 抑制 在 攻击 发 生 之 前 ,达到 实时 监测 的 目的。 同时 ,和 针对 建立 钓 
鱼 热 点 进行 钓鱼 攻击 等 恶意 行为 ,无 线 威胁 感知 引擎 也 需要 通过 热点 安全 策略 关联 性 分 
析 技 术 进 行 有 效 识别 ,及 时 发 现 潜伏 在 无 线 网 络 中 的 各 种 威胁 。 

2. 无 线 安 全 防御 系统 的 部 署 

无 线 安全 防御 系统 一 般 包 括 中 控 服 务 需 、 收 发 引擎 和 Web 管理 平台 3 个 组 成 部 分 ， 
收发 引擎 和 中 控 服 务 融 需要 分 别 独立 部 署 在 企业 内 部 网 络 环境 中 ,管理 员 通 过 使 用 管理 
终端 ,可 对 企业 内 部 无 线 网 络 中 的 所 有 热点 和 终端 进行 监测 。 
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源 代 但 安全 检测 系统 用 来 验证 和 解决 企业 软件 开发 和 测试 过 程 中 出 现 的 代码 安全 问 
题 。 源 代码 安全 检测 系统 面 问 组织 源 代 但 安全 需求 ,能 够 在 不 改变 组 织 现 有 开发 泊 程 的 
前 提 下 ,与 源 代 码 管 理 系 统 ( 如 SVN、Git 等 ) IDE 开发 工具 (如 Visual Studio、Eclipse 
等 ) 无 缝 对接 ,将 源 代 公安 全 检测 融入 企业 开发 流程 ,帮助 企业 以 最 小 代价 建立 代 公 安全 
检测 能 力 ,构筑 信息 系统 的 内 建安 全 。 


1. 源 代 码 安 全 现状 

1) 源 代 码 安 全 检测 的 重要 性 

软件 代码 是 构建 企业 信息 系统 的 基础 组 件 , 软 件 代 码 中 安全 漏洞 和 未 声明 功能 (后 
门 ) 的 存在 是 安全 事件 频 索 发 生 的 主要 根源 。 忽 视 软 件 代 码 自 身 的 安全 性 ,仅仅 依靠 交付 
后 的 防护 和 修补 等 方法 ,是 舍 本 爱 末 ,必然 事倍功半 。 只 有 在 交付 前 通过 各 种 管理 和 技术 
手段 保障 软件 代码 日 身 的 安全 性 ,并 在 交付 后 再 辅 以 适当 的 安全 防护 手段 , 才 是 信息 系统 
安全 问题 的 有 效 解决 之 道 。 

软件 开发 通 第 会 引入 缺陷。 缺陷 密度 通 第 以 每 千 行 源 代 人 码 缺 陷 数 量 (defects per 
KLOC) 来 表示 。 普 通 软 件 工 程 师 的 缺陷 密度 一 般 为 50 一 250。 由 于 有 严格 的 软件 开发 
质量 管理 机 制 和 多 重 测试 环 节 ,成 熟 的 软件 公司 的 缺陷 密度 要 低 得 多 ,为 4 一 40; 高 水 平 
的 软件 公司 的 缺陷 密度 为 2 一 4; 而 美国 NASA 的 软件 缺陷 密度 可 低 至 0.1。 根 据 国内 专 
业 安 全 公司 的 源 代码 缺陷 检测 实践 统计 ,国产 软件 平均 的 缺陷 密度 为 6, 其 中 约 1% 的 缺 
陷 为 高 可 利用 的 安全 漏洞 ,由 此 可 见 国 内 源 代 码 安 全 形势 的 严峻 性 。 

2) 国外 和 国内 源 代 码 安全 检测 现状 

美国 等 西方 发 达 国 家 非常 重视 软件 代码 安全 保障 ,从 政府 部 门 到 企业 界 都 在 积极 推 
进 。 美 国 国土 安全 部 提出 了 软件 内 建安 全 的 概念 ,将 安全 作为 软件 的 基础 属性 ,并 资助 了 
一 系列 软件 代码 安全 保障 的 研究 项 目 , 如 SAMATE、 开 源 代码 安全 测试 计划 等 。 企 业界 
则 以 微软 公司 为 代表 ,提出 了 软件 安全 开发 生命 周期 的 理念 ,强调 软件 整个 生命 周期 各 个 
环节 的 安全 保障 ,这 一 理念 也 已 被 众多 大 型 企业 所 接受 。 

目前 国内 市 场 上 的 源 代码 安全 检测 产品 基本 上 都 是 国外 厂商 开发 生产 的 ,这 些 产 品 
的 相关 实现 原理 极 少 对 外 公开 ,因此 其 自主 可 控 性 大 打折 扣 。 软 件 源 代 码 是 企业 的 核心 
资产 和 重要 知识 产权 , 源 代 码 安 全 检测 产品 的 应 用 是 否 会 引入 其 他 的 安全 风险 ,是 一 个 需 
要 引起 企业 信息 安全 管理 者 注意 的 问题 。 


2. 源 代 码 安 全 检测 系统 的 功能 
源 代码 安全 检测 系统 的 功能 主要 是 源 代 码 缺 陷 检 测 、 源 代码 缺陷 定位 和 审计 以 及 检 
测 结果 可 视 化 。 
1) 源 代码 缺陷 检测 
源 代 码 安 全 检测 系统 文 持 对 各 种 主流 开发 语言 的 软件 源 代 但 进行 缺陷 检测 ,一 般 包 
括 C/C++ 、Objective<C、C 井 Java、 Java(Android)、PHP、JSP、XML 、HTML 、ASPX、 
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JavaScript、\ SQL .Swift、Pvython COBOL .Go 等 主流 开发 语言 。 源 代码 安全 检测 系统 可 
检测 篆 克 的 缺陷 种 类 ,其 检测 内 容 主 要 包括 缓冲 区 溢出 SQL 注入 、 器 站 脚本 、 代 人 码 质 量 、 
危险 因数 等 。 源 代码 安全 检测 系统 一 役 兼 容 CWE(Common Weakness Enumeration , 稼 
见 缺陷 列表 )\、OWASP TOP 10.CWE/VSANS TOP 25 等 国际 权威 检测 工具 。 

2) 源 代码 缺陷 定位 和 审计 

源 代码 安全 检测 系统 可 以 检测 和 发 现 源 代码 中 的 安全 问题 ,定位 到 具体 的 代码 行 , 并 
为 每 一 个 发 现 的 问题 提供 详细 的 信息 提示 和 修复 建议 ,帮助 开发 人 员 更 好 地 理解 并 更 有 
效 地 修复 问题 。 对 于 检测 结 末 也 可 以 通过 人 工 审计 进行 二 次 干预 ,对 威胁 等 级 和 标注 进 
行 调整 ,在 下 一 次 检测 时 ,可 以 将 本 次 人 工 审计 的 结果 携带 至 下 一 轮 检测 任务 中 ,能 够 有 

3) 检测 结 采 可 视 化 

源 代码 安全 检测 系统 的 检测 报告 根据 用 户 角 色 分 为 管理 人 员 报 告 与 开发 人 员 报 告 。 
管理 人 员 报 告 主要 包含 缺陷 等 级 及 缺陷 类 型 等 基本 统计 信息 ,开发 人 员 报 告 包 括 基 本 统 
计 信 息 和 缺陷 详细 信息 。 

检测 报告 内 容 可 根据 需求 对 问题 等 级 .问题 类 型 .修复 建议 .跟踪 路 径 .审计 日 志 进 行 
定制 ,提供 包括 Word、Excel、PDF 等 多 种 格式 的 检测 报告 。 


3. 源 代 码 安 全 检测 系统 的 部 署 

源 代 但 安全 检测 系统 一 般 采 用 私有 化 便 件 部 闭 的 方式 ,专用 便 件 包括 源 代 人 码 安 全 和 缺 
陷 分 析 系 统 及 检测 引擎 等 相关 模块 。 源 代码 安全 检测 系统 可 以 通信 到 企业 的 软件 开发 工 
作 流 中 ,从 代码 库 中 获取 代码 ,检测 结束 后 ,会 将 检测 结 采 同步 到 缺陷 管理 平台 中 。 源 代 
但 安全 检测 系统 一 般 采 用 有 元 路 部 着 模 却 ,其 典型 拓扑 如 图 3-4 所 示 。 


代码 库 (SVN 等 ) 缺陷 管理 平台 


马 [ aaaa | 过 区 (Bugzilla 等 ) 
Pg 


开发 用 计算 机 SR 
生成 报告 
图 3-4 源 代码 安 全 检测 系统 旁 路 部 署 模式 的 典型 拓扑 
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终端 安全 管理 系统 广义 上 包括 企业 版 杀毒 软件 .桌面 管理 软件 .补丁 管理 软件 等 。 现 
在 主流 的 终端 安全 管理 系统 一 般 是 集 防 病毒 与 终端 安全 管控 于 一 体 的 综合 系统 。 终 端 安 
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全 管理 系统 能 够 精确 检测 已 知 病毒 /木马 和 未 知 恶 意 代码 ,有 效 防御 APT 攻击 ,并 提供 
补丁 管理 .终端 资产 管理 .终端 安全 运 维 ,移动 存储 介质 管理 .终端 准 入 .终端 安全 审计 等 
诸多 功能 。 


1. 终端 安全 管理 系统 的 功能 

1) 病毒 /木马 检测 

终端 安全 管理 系统 文 持 对 蠕虫 病毒 .恶意 软件 .广告 软件 .勒索 软件 .引导 区 病毒 、 
BIOS 病毒 的 查 杀 ,这 依赖 于 各 种 杀毒 引擎 的 协同 工作 。 主 流 的 杀毒 引擎 技术 包括 云 查 
杀 引 擎 人 工 智能 杀毒 引擎 等 。 终 端 安全 管理 系统 的 主动 防御 功能 可 以 防御 未 知 病毒 和 
未 知 威胁 。 主 动 防御 是 基于 程序 行为 日 主 分 析 判 断 的 实时 防护 技术 ,不 以 病毒 的 特征 码 
作为 判断 病毒 的 依据 ,而 是 从 最 原始 的 病毒 定义 出 发 ,直接 将 程序 的 行为 作为 判断 病毒 的 
依据 ,在 实现 机 制 上 可 以 对 文件 访问 .进程 创建 .注册 表 庶 写 、 网 络 IP 请 求 .设备 加 载 完 成 
主动 防御 拦截 。 

2) 补丁 管理 

在 企业 的 数据 中 心 和 办 公 网 络 中 存在 着 不 同类 型 .不同 版 本 的 操作 系统 ,这 些 操作 系 
统 都 需要 由 管理 员 进 行 全 面 的 补丁 管理 ,管理 员 往 往 需 要 甄别 不 同 的 操作 系统 并 根据 各 
个 系统 的 不 同情 况 有 选择 地 下 发 系统 补丁 。 服 务 器 系统 尤为 复杂 ,需要 管理 员 对 补丁 与 
服务 占 应 用 进行 兼容 性 测试 后 才能 对 相应 的 服务 器 进行 补丁 升级 操作 。 终 端 安全 管理 系 
统 可 以 对 全 网 计算 机 进行 漏洞 扫描 ,把 计算 机 与 漏洞 进行 多 维 关 联 , 可 以 根据 终端 或 漏洞 
进行 分 组 管理 ,并 且 能 够 根据 不 同 的 计算 机 分 组 与 操作 系统 类 型 将 补丁 错 峰 下 发 ,在 保障 
企业 网 络 带 宽 的 前 提 下 ,可 以 有 效 提 升 企业 整体 漏洞 防护 等 级 。 

3) 终端 资产 管理 

终端 安全 管理 系统 具有 强大 的 终端 资产 管理 功能 ,管理 员 可 以 通过 定义 网 络 IP 段 进 
行 分 组 ,周期 性 地 发 现 ( 采 用 多 协议 、 多 机 制 方式 ) 与 统计 指定 的 网 络 分 组 中 的 终 闪 数量 及 
类 型 。 通 过 该 功能 ,管理 员 可 以 快速 了 解 全 网 终端 数量 和 终端 安全 管理 系统 终端 的 安装 
量 ,为 企业 终端 安全 管理 运 维 提供 有 效 的 参考 。 另 外 ,该 系统 对 单 台 终端 具有 全 面 的 安全 
运 维 管理 功能 ,包含 终端 的 硬件 资产 管理 .软件 资产 管理 .系统 服务 管理 .进程 管理 . 账 扎 
管理 .网 络 管理 .系统 事件 管理 .补丁 管理 .终端 安全 威胁 统计 等 功能 。 

4) 终端 安全 运 维 

终端 安全 运 维 也 称 桌 面 管理 运 维 , 包 含 对 终端 的 流量 监控 .非法 外 联 . 应 用 程序 安全 、 
网 络 安全 、 外 设 、 桌 面 安全 加 固 等 功能 。 通 过 创建 不 同 的 规则 或 者 规则 组 合 来 判断 终端 所 
处 环境 ,可 以 根据 终端 所 处 不 同 的 环境 执行 不 同 的 策略 。 例 如 ,可 以 根据 终端 所 在 场所 
( 合 规 场 所 .违规 场所 、 无 线 场 所 ) 进 行 管 理 与 配置 ,通过 规则 中 的 IP 地 址 、 域 名 、DNS 等 
综合 判断 终端 所 在 场所 。 对 处 于 不 同 场 所 的 终端 执行 不 同 的 管理 策略 。 

5) 移动 存储 介质 管理 

终 闹 安全 管理 系统 能 够 实现 对 移动 存储 介质 的 灵活 管控 ,保证 终 问 与 移动 存储 介质 
进行 数据 交换 和 共享 过 程 中 的 信息 安全 要 求 。 移 动 存 储 介 质 管理 包括 移动 存储 介质 的 号 
份 注册 .网 内 终 痊 授权 管理 .移动 存储 介质 挂失 管理 .外 出 管理 和 终端 设备 例外 等 功能 。 

67 


移动 存储 介质 管理 解决 了 用 户 在 安全 管控 要 求 下 使 用 移动 存储 介质 实现 数据 共享 和 
数据 交换 的 迫切 需求 。 移 动 存储 介质 管理 支持 分 组 管理 ,给 予 不 同 的 移动 存储 介质 相应 
的 授权 使 用 范围 和 该 写 权 限 ,同时 文 持 设备 状态 的 追 蹊 与 管理 。 

6) 终 病 准 入 

终 痊 安全 管理 系统 的 终 问 准 和 组件 主 要 为 企 事业 单位 解 次 人 网 安全 合 规 性 要 求 , 实 
现 用 户 和 设备 的 网 络 实名 制 认 证 管理 .网 络 边界 安全 防护 管理 .核心 业务 访问 准 人 等 功 
能 。 终 疹 准 人 用 于 防止 企业 网 络 资源 遭受 设备 接 人 所 引起 的 各 种 威胁 ,在 有 效 管理 用 户 
接 入 网 络 行为 的 同时 ,也 可 达到 规范 化 地 管理 计算 机 终端 的 目的 。 

7) 终 病 安全 审计 

随 者 信息 安全 技术 和 理念 的 发 展 ,安全 监控 的 关注 点 已 经 从 设备 本 和 号 转 问 设备 使 用 
者 的 行为 ,企业 对 于 设备 使 用 者 的 行为 审计 和 行为 控制 的 需求 越 来 越 强烈 。 终 端 安 全 管 
理 系统 通过 技术 手段 使 各 种 管理 条 例 落 地 ,增强 用 户 的 安全 和 保密 意识 ,保护 内 部 的 信息 
不 外 泄 。 终 冰 审 计 的 内 容 只 是 与 内 网 安全 合 规 管理 相关 的 信息 ,不 涉及 终 闯 用 户 的 个 人 
隐私 信息 ,可 以 达到 合 规 管理 的 审计 要 求 。 目 前 可 进行 审计 的 内 容 包 括 软 件 使 用 日 志 、 外 
设 使 用 日 志 、 开 关机 上 日志、 系统 账号 日 志 、 文 件 操作 日 志 、 文 件 打 印 日 志 、 邮 件 记 录 日 志和 
安全 U 盘 审 计 。 

2. 终端 安全 管理 系统 的 部 署 

终 闪 安全 管理 系统 典型 的 部 署 方案 是 : 在 网 络 内 部 部 署 终端 安全 管理 系统 控制 中 心 
和 终端 ,终端 安全 管理 系统 终端 通过 控制 中 心 连 接 到 升级 服务 器 进行 升级 .更 新 等 ,控制 
中 心 具 有 绥 存 功能 ,同样 的 数据 文件 只 会 下 载 一 次 ,可 以 极 大 地 节省 企业 总 出 口 市 宽 资 源 。 
终 闪 安全 管理 系统 终 关 根据 控制 中 心 制 定 的 安全 策略 进行 体检 .杀毒 和 修复 漏洞 等 安全 操 
作 。 进 行 杀毒 扫描 时 ,终端 安全 管理 系统 终端 可 以 直接 连接 云 查 杀 系统 进行 云 查 杀 。 

终 闪 安全 管理 系统 部 署 的 盘 型 折 扑 如 图 3-5 所 示 。 


互联 网 


更 新 病毒 /补丁 库 1 


区 
买 


入 端 安全 管理 系统 部 署 的 典型 拓扑 
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3 9 移动 安全 防御 系统 


移动 安全 防御 系统 主要 应 用 于 企业 移动 办 公 的 安全 防护 ,能 够 在 移动 设备 上 建立 一 
个 安全 的 办 公 区 ,实现 个 人 应 用 与 企业 应 用 的 公私 隅 离 。 通 过 移动 安全 防御 系统 可 以 实 
时 了 解 各 移动 终 病 运 行 和 使 用 情况 ,提供 远程 探 除 .设备 锁定 、. 地 理 定 位 等 功能 ,同时 还 可 
以 制定 并 下 发 多 种 安全 策略 ,实现 终 病 设 备 安全 可 探 的 目标 。 


1. 移动 安全 防御 系统 的 功能 

移动 安全 防御 系统 的 功能 主要 包括 多 层级 纵深 防御 终端 准 入 和 违规 检查 、 数 据 公 私 
隔离 以 及 应 用 木马 查 杀 。 

1) 多 层级 纵深 攻防 

移动 安全 防御 系统 提供 从 底层 人 硬件 支撑 到 上 层 应 用 操作 的 多 层级 纵深 防护 ,可 实现 
数据 加 密 存 储 .数据 访问 控制 .远程 强 指 令 管 控 .专用 网 络 加 密 并 搭建 具有 高 可 用 性 的 终 
端 管理 平台 , 兼 具 广 度 和 深度 地 保护 企业 信息 系统 的 高 价值 敏感 数据 资产 。 

2) 终端 准 入 和 违规 检查 

移动 安全 防御 系统 可 对 移动 终端 进行 准 入 控制 ,只 有 满足 准 入 标准 并 通过 了 安全 性 
检查 的 终 问 才 被 准许 接 入 网 络 , 杜 绝 设 备 在 接 入 的 同时 引入 安全 风险 。 同 时 ,对 已 接 入 网 
络 的 移动 终 闫 进行 违规 检查 ,对 违规 终端 在 第 一 时 间 实 行 处 罚 , 阻 断 其 对 网 络 和 数据 的 风 
险 访 问 ,有效 确 保 企 业 信 息 系 统 的 安全 性 。 

3) 数据 公私 隔离 

移动 安全 防御 系统 采用 动态 沙 箱 技 术 在 移动 终端 上 建立 独立 工作 区 ,将 企业 的 敏感 
数据 加 密 存 储 在 工作 之 中 ,并 将 工作 区 与 个 人 区 隔离 ,能 使 用 户 自 主 切换 工作 区 和 个 人 
区 , 预 置 完 备 的 移动 办 公 套 件 ,对 违规 终端 下 发 数据 探 除 指令 ,避免 企业 数据 泄露 。 

4) 应 用 木马 查 杀 

移动 安全 防御 系统 能 对 移动 终端 上 已 安装 的 应 用 软件 和 安装 包 进 行 全 面 扫 描 , 精 准 
查 杀 病毒 /木马 ,并 实时 监控 正在 安装 的 应 用 软件 ,全面 保证 移动 终端 运行 环境 的 安全 ,如 
免 亚 意 应 用 给 企业 资产 和 数据 信息 带 来 的 严重 危害 。 

2. 移动 安全 防御 系统 的 部 署 

移动 安全 防御 系统 一 般 由 移动 端 APP 和 服务 器 端 控制 台 构 成 。 控 制 台 以 企业 私有 
云 或 会 有 云 的 形式 ,采用 和 劳 路 部 署 模式 部 署 到 企业 内 网 的 通用 服务 器 或 主机 上 ;APP 则 
需 在 移动 终端 上 建立 一 个 安全 的 工作 区 ,使 工作 区 内 的 应 用 和 数据 受到 保护 ,使 用 户 能 在 
工作 区 和 个 人 区 之 间 自 主 切换 。 


3.10 漏 泪 扫 接 系 统 
漏洞 扫描 主要 是 基于 特征 匹配 原理 ,将 待 测 设备 和 系统 的 反应 与 漏洞 库 进行 比较 , 若 


满足 匹配 条 件 , 则 认为 目标 系统 存在 安全 漏洞 。 进 行 漏洞 扫 朱 时 ,首先 探测 目标 系统 的 存 
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活 主 机 ,对 存活 主机 进行 端口 扫 接 ,确定 目标 系统 开放 的 端口 ,同时 根据 协议 指纹 技术 识 
别 主 机 的 操作 系统 类 型 ;其 次 ,根据 目标 操作 系统 类 型 .系统 运行 的 平台 和 提供 的 网 络 服 
务 , 按 漏 洞 库 中 已 知 的 各 种 漏洞 类 型 发 送 对 应 的 探测 数据 包 , 对 它们 进行 逐一 检测 ;而 后 ， 
通过 对 探测 啊 应 数据 包 的 分 析 ,判断 目标 系统 是 否 存 在 源 洞 。 夺 探测 啊 应 数据 包 符 合 对 
应 源 洞 的 特征 , 则 表示 目标 系统 存在 该 汤 洞 。 所 以 , 源 洞 库 的 定义 精确 与 否 下 接 有 影响 看 最 
后 的 扫 摘 结 采 以 及 漏洞 扫 摘 的 性 能 。 


1. 漏洞 扫 朱 系统 的 功能 

独 洞 扫 朱 系统 是 按照 独 洞 扫描 原理 设计 的 ,能 够 目 动 检测 本 地 或 还 程 的 设备 和 系统 
安全 脆弱 性 ( 即 漏洞 ) 的 程序 。 它 主要 有 如 下 两 个 功能 : 

(1) 外 部 扫 摘 。 狂 洞 扫 朱 系 统 可 以 获得 主机 的 各 种 端口 的 分 配 .提供 的 服务 .服务 软 
件 版 本 以 及 这 些 服务 和 软件 呈现 在 网 络 上 的 安全 汤 洞 。 之 所 以 将 其 称 为 漏洞 扫 搬 系统 的 
外 部 扫 摘 ,原因 在 于 它 是 在 实际 的 网 络 环境 下 通过 网 络 对 系统 管理 员 所 维护 的 主机 进行 
外 部 特征 扫描 。 

(2) 内 部 扫 挡 。 痢 洞 扫 朱 系统 还 能 从 主机 系统 内 部 检测 系统 配置 的 缺陷 , 杭 拟 系统 
管理 员 进 行 系统 内 部 审核 的 全 过 程 ,发 现 能 够 征 墨 客 利 用 的 种 种 错误 配置 。 之 所 以 称 之 
为 漏洞 扫 朱 系统 的 内 部 扫 朱 ,因为 它 是 以 系统 管理 员 的 身份 对 目标 系统 中 的 主机 进行 内 
部 特征 扫 摘 。 

实际 上 ,能够 从 主机 内 部 监测 系统 配置 的 缺陷 ,十 系 统管 理 员 的 尘 洞 扫描 系统 与 攻击 
者 拥有 的 澳 洞 扫 拉 工具 在 扩 术 上 的 最 大 区 别 ,攻击 者 在 扫 摘 目标 主机 阶段 ( 即 人 侵 准 备 阶 
段 ) 无 法 进行 目标 主机 内 部 检测 。 


2. 漏洞 扫 拉 系统 的 应 用 场景 
漏洞 扫描 系统 主要 有 以 下 3 个 应 用 场景 。 
1) 业务 上 线 前 的 安全 扫描 
随 着 企业 的 发 展 和 壮大 ,企业 内 部 的 业务 线 也 会 随 之 变 多 ,单纯 依 和 对 人 工 检 测 漏 洞 不 
具有 可 行 性 。 因 此 ,需要 引入 漏洞 扫描 系统 , 它 能 够 在 业务 上 线 和 发 布 前 对 其 进行 自动 化 
扫描 和 检测 ,从 而 可 以 让 烦琐 的 安全 检测 工作 通过 漏洞 扫描 系统 自动 完成 。 这 样 不 仅 可 
以 减少 人 的 工作 量 , 同 时 还 可 以 极 大 地 缩短 检测 时 间 ,保障 业务 顺利 、 及 时 地 上 线 和 发 布 。 
2) 业务 运行 中 的 安全 监控 
安全 其 实 是 一 个 动态 过 程 ,因此 对 业务 持续 地 进行 安全 监控 也 是 必 不 可 少 的 。 企 业 
可 以 通过 漏洞 扫描 系统 对 业务 中 的 日 志 或 流量 进行 实时 扫描 、 分 析 及 监控 ,还 可 以 与 企业 
内 部 的 防火 墙 或 WAF 进行 协同 联动 ,从 而 可 以 实现 业务 运行 中 的 安全 阻 断 ,保障 业务 运 
行 的 安全 。 
3) 业务 运行 中 的 安全 预 管 
互联 网 中 许多 开源 组 件 会 被 研究 人 员 爆 出 0Day 漏洞 ,在 这 个 时 候 , 企 业 就 可 以 通过 
湄 洞 扫 指 系统 对 所 有 骏 露 在 公 网 上 的 资产 进行 开源 组 件 的 探测 识别 和 汤 洞 验证 ,这 样 束 
可 以 快速 定位 到 风险 资产 和 目标 ,并 能 够 对 相应 的 漏洞 进行 修复 和 升级 ,从 而 有 效 地 降低 
0Day 漏洞 给 企业 市 来 的 安全 风险 。 
70 


3. 漏洞 扫描 系统 的 部 嗜 

油 洞 扫描 系统 一 般 采 用 劳 路 部 署 的 方式 。 在 劳 路 部 署 的 方式 下 ,漏洞 扫描 系统 可 以 
通过 内 网 对 操作 系统 、 数 据 库 、 网 络 设备 ,防火墙 等 产品 进行 漏洞 扫描 ,还 可 以 通过 无 线 网 
关 C(WiFiD 对 移动 闯 设 备 的 操作 系统 进行 漏洞 扫 挡 。 夯 外 ,在 设置 了 DNS 服务 禹 的 情况 
下 ,漏洞 扫 朱 系统 还 可 以 对 外 网 的 相关 网 站 进行 Web 源 洞 扫 插 。 


中 忘 审计 系统 


日 志 审 计 系 统 是 一 个 统一 的 日 志 监 控 与 审计 的 平台 ,能 够 实时 不 间断 地 将 企业 和 组 
es 商 的 安全 设备 .网 络 设备 .主机 、 操 作 系 统 .数据 库 系 统 . 用 户 业 务 系 统 的 
警报 等 信息 汇集 到 审计 中 心 ,进行 集中 化 采集 .存储 查询、 分析 .告警 . 啊 应 ,并 生成 
phi 告 ,实现 对 用 户 环境 日 志 的 合 规 性 审计 。 
日 志 惠 计 系统 是 一 个 全 面 的 、 智能 的 网 络 日 志和 事件 管理 .分析 工具 ,可 以 提供 丰富 
的 日 志和 事件 管理 .分 析 功 能 。 它 主要 包含 两 大 部 分 : 省 理 服务 右 和 管理 客户 器 ,其 基本 
结构 如 图 3-6 所 示 。 
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官 理 客户 站 官 理 服 务 费 安全 设备 
图 3-6 ”日志 审计 系统 基本 结构 


管理 服务 各 能 够 通过 多 种 方式 全 面 采 集 网 络 中 各 种 设备 .应 用 和 系统 的 日 志 信 息 ,能 
人 ,可 灵活 扩展 ;通过 归 一 化 和 智能 日 志 关 联 分 
析 引 车 ,协助 用 户 准 确 、 快 速 地 识别 安全 事故 ,对 企业 和 组 织 的 I 资源 中 构成 业务 信息 
系统 的 各 种 网 络 设备 .安全 设备 .安全 系统 .主机 操作 系统 .数据库 以 及 各 种 应 用 系统 的 日 
志 、 事 件 . 告 宪 等 安全 信息 进行 全 面 的 审计 , 带 助 企业 及 时 作出 啊 应 。 管 理 客户 闯 与 管理 
服务 需 配 合 运行 ,为 客户 提供 本 地 服务 ,可 以 为 用 户 提供 一 个 从 总 体 上 把 握 企 业 整 体 安全 
情况 的 界面 ,也 可 以 称 为 仪表 板 。 通 过 客户 端 界面 ,用户 可 以 从 不 同 的 角度 了 解 系统 中 的 
实时 信息 ,通过 各 种 统计 图 表 ( 图 形 化 显示 ) 来 获知 当前 的 安全 状况 ,并 可 以 从 横 四 或 者 以 
面 回 业务 的 模式 进行 对 比分 析 ; 用 户 还 可 以 通过 客户 病 对 质 产 进行 管理 ,方便 地 进行 设备 
的 增加 修改 、 删 除 和 查询 ,并 可 以 对 设备 当前 的 日 志 、 事 件 进 行 实时 的 等 级 统计 。 
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日 志 审 计 系 统 功 能 

日 志 审 计 系 统 可 以 告诉 用 户 很 多 关于 网 络 中 所 发 生 事件 的 信息 ,主要 包含 以 下 功能 : 
资源 管理 .人 和信 侵 检测 .故障 预测 .取证 和 审计 。 

1) 资源 管理 

日 志 审 计 系 统 可 以 按照 设备 资产 的 重要 程度 和 管理 域 的 方式 组 织 设备 资产 ,提供 便 
捷 的 添加 修改、 删除 、 查 询 与 统计 功能 , 文 持 资产 信息 的 批量 导入 和 导出 ,便于 安全 省 理 
和 系统 管理 人 员 方 便 地 查找 所 需 设 备 资 产 的 信息 ,并 对 资产 进行 关键 度 赋 信 。 例 如 ,监控 
一 台 主 机 是 否 在 线 的 典型 方法 之 一 是 使 用 互联 网 控制 报 文 协议 (Internet Control 
Message Protcol,ICMP) 来 ping 主机 。 但 是 ,这 里 给 出 的 信息 不 够 准确 ,成 功 ping 通 一 
个 主机 只 能 说 明 它 的 网 络 接口 配置 没有 问题 。 但 有 时 一 人 台 主 机 可 能 已 经 朋 溃 ,而 此 时 只 
要 它 已 经 配置 好 并 有 是 有 电 , 接 口 就 能 啊 应 。 

2) 入 侵 检 测 

主机 日 志 不 同 于 网 络 人 侵 侦 测 系 统 (Network Intrusion Detection System, NIDS)， 
对 入 侵 检 测 非 常 有 用 。NIDS 不 能 揭示 攻击 是 否 成 功 , 只 能 告诉 管理 者 可 能 有 人 试图 攻 
击 ,真正 的 攻击 信息 被 记录 在 主机 上 。 即 NIDS 提示 用 户 及 时 查看 日 志 , 但 是 仅 靠 NIDS 
整 状况 。 虽 然 主 机 日 志 并 不 总 是 能 准确 地 说 明 发 生 了 什么 ,但 是 将 NIDS 和 

志 结 合 起 来 就 会 器 管理 者 提供 很 多 有 用 信息 。 

3) 故障 预测 

日 志 对 故障 预测 也 很 有 价值 。 以 Syslog 为 例 ,Syslog 提供 了 一 个 便于 管理 员 理 解 日 
志 的 机 制 , 即 以 英文 文本 来 记录 系统 日 志 消 县 。 系 统 日 志 消 县 中 有 标准 格式 的 消息 (也 称 
为 系统 错误 消息 或 简单 系统 消息 ) ,也 有 从 调试 命令 输出 的 消息 。 这 些 消息 是 在 网 络 运行 
过 程 中 生成 的 , 旨 在 指明 网 络 问 题 的 类 型 和 严重 程度 ,或 者 玫 助 谈 者 用 户 检测 路 由 硕 的 活 
动 ,例如 配置 的 变更 。 

网 络 故障 预测 就 是 指 在 历史 日 志 数 据 的 基础 上 ,选择 合理 的 模型 或 算法 实时 监控 网 
络 的 实时 状态 ,以 评 佑 其 健康 状况 ,在 用 户 感知 到 故障 发 生 之 前 ,实现 对 未 来 的 网 络 故 障 
的 预测 ,判定 故障 是 否 会 发 生 , 从 而 为 网 络 操 作者 提供 帮助 ,使 其 及 时 运用 操作 策略 对 网 
络 的 健康 进行 维护 。 网 络 故障 预测 的 基本 步骤 如 图 3-7 所 示 。 

4) 取证 

取证 是 在 事件 发 生 后 重建 “发 生 了 什么 ”情景 的 过 程 。 这 种 描述 往往 基于 不 完整 的 信 
息 ,而 信息 可 信和 度 是 至 关 重 要 的 。 日 志 是 取证 过 程 中 不 可 或 缺 的 组 成 部 分 。 日 志 一 经 记 
录 ,就 不 会 因为 系统 的 正常 使 用 而 被 修改 ,这 意味 着 这 是 一 种 永久 性 的 记录 。 因 此 ,日 志 
可 以 为 系统 中 其 他 可 能 更 容易 被 更 改 或 破坏 的 数据 提供 准确 的 补 序 。 每 条 日 志 中 通 第 都 
有 时 间 鹤 ,用 于 提供 每 个 事件 的 时 间 顺 序 。 而 且 , 日 志 通 和 常会 被 及 时 发 送 到 男 一 台 主 机 
( 通 第 是 一 个 集中 日 志 收 集 副 ) ,这 也 提供 了 独立 于 原始 来 源 的 一 个 证 据 来 源 。 pit 
来 源 上 信息 的 准确 性 遭 到 质疑 (例如 入 侵 者 可 能 破 改 或 者 删除 了 日 志 ), 独 立 的 信和 县 
能 被 认为 是 更 可 徘 的 附加 来 源 。 同 样 ,不 同 来 源 其 至 不 机 
提高 每 个 来 源 的 准确 性 。 日 志 有 助 于 加 强 收 集 到 的 其 他 证 据 。 重 现 事件 往往 不 是 基于 一 
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训练 预测 模型 


确定 预测 目标 


获取 预测 结果 


图 3-7 网 络 故 障 预测 的 基本 步 又 


名 分 信息 或 者 单个 信息 源 , 而 是 基于 来 日 各 种 信息 源 的 数据 ,包括 文件 和 各 子 系统 上 的 时 
间 惟 .用户 的 命令 历史 记录 、 网 络 数 据 和 日 志 。 

5) 审计 

审计 是 验证 系统 或 者 过 程 是 否 如 预期 那样 运行 的 活动 。 日 志 是 审计 过 程 的 一 部 分 ， 
有 助 于 形成 审计 跟踪 。 例 如 ,如 果 有 人 声称 他 们 从 来 没有 接收 一 个 特定 的 邮件 ,邮件 日 志 
可 以 用 于 核实 并 显示 邮件 到 后 有 没有 发 送 , 就 像 邮 件 投 递 员 签收 的 单据 一 梓 。 审 计 往 往 
是 为 了 政策 或 者 监管 依从 性 而 进行 的 。 例 如 ,公司 往往 需要 进行 财务 审计 ,以 确保 财务 报 
表 和 上 账 短 相符 , 且 所 有 效 字 都 合情合理 .《 院 班期 -奥克斯 利 法 案 》(Sarpazzs-Ozley Acz ) 
和 《健康 保险 便利 性 和 中 任 法 案 》( Healih Insurance Portability and Accountability Act， 
HIPAA) 等 美国 法 规 都 要 求 某 种 交易 日 志 以 及 可 以 用 来 验证 用 户 对 金融 和 患者 数据 访问 
的 审计 跟 踊 。 男 一 个 例子 是 《支付 卡 行业 数据 安全 标准 》(Payment Card Industry Data 
Security Standard ,PCI DSS), 它 的 强制 要 求 包括 记录 信用 卡 交 易 日 志和 持 卡 人 的 数据 
访问 日 志 。 日 志 也 可 以 被 用 于 验证 对 于 技术 芝 略 (如 安全 策略 ) 的 依从 性 。 例 如 ,如 采制 
定 了 在 网 络 中 允许 使 用 哪些 服务 的 策略 ,可 以 及 用 对 各 种 日 志 的 审计 来 验证 是 否 只 有 这 
些 服 务 在 运行 。 


2. 日 志 旁 路 部 羊 

入 路 部 章 醒 式 通过 将 物理 接口 绑 定 到 稼 路 模式 功能 域 的 方式 实现 。 绑 定 后 ,该 物理 
接口 就 成 为 劳 路 接口 ,此 时 ,日 志 审 计 变 备 对 从 和 劳 路 接口 收 到 的 流量 进行 统计 、 扫 朱 或 者 
记录 , 即 可 实现 稼 路 模式 。 通 曾 情 况 下 ,日 志 审 计 设 备 在 网 络 部 著 上 采用 串联 模式 ,以 直 
路 的 方式 对 网 络 流量 进行 分 析 、 控 制 以 及 转发 。 但 是 ,如 采 仅 需要 使 用 部 分 功能 ,例如 
IPS、 防 病毒 .监控 及 网 络 行为 控制 等 ,防火 增 应 用 负载 网 天 既 可 以 工作 在 直路 模式 下 ,也 
可 以 工作 在 劳 路 模式 下 。 日 志 审 计 设 备 工 作 在 和 劳 路 模式 下 时 , 仅 对 流量 进行 统计 .扫描 或 
者 记录 ,并 不 对 流量 进行 转发 ,同时 ,网 络 流量 也 不 会 受到 日 志 审 计 设 备 本 身 故 了 区 的 影 啊 ， 
所 以 ,对 于 仅 有 审计 需求 的 情况 ,使 用 务 路 模式 将 会 更 加 有 效 、 合 理 。 和 劳 路 部 普 相 对 于 其 
他 部 团 方 式 具 有 以 下 优点 : 

(1) 不 需 改 变 原 来 的 网 络 结构 也 能 分 析 流 量 , 同 时 也 能 配合 日 志 服 务 顺 进行 记录 
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分 析 。 
(2) 日 志 服 务 器 即使 在 运行 过 程 中 出 现 问题 ,也 不 会 对 现 有 网 络 造成 任何 影 啊 。 


3 12 虚拟 专用 网 


虚拟 专用 网 (Virtual Private Network,VPN) 是 构建 在 公共 物理 网 络 之 上 的 逻辑 网 
络 , 通 过 在 两 个 网 络 之 间 建 立 一 条 临时 的 虚拟 专用 连接 进行 数据 的 可 徘 加 密 传输 。 随 着 
互联 网 的 快速 发 展 及 其 应 用 领域 的 不 断 扩 大 ,政府 .外交 军队 和 跨国 公司 等 许多 部 门 邵 
已 经 广泛 地 利用 廉价 的 公用 基础 通信 设施 建立 了 上 自己 的 专用 广域网 ,进行 数据 的 安全 
传输 。 


1. VPN 的 作用 与 优势 

与 传统 网 络 相 比 ,VPN 的 出 现 解决 了 传统 专用 网 络 中 的 众多 问题 ,下 面 从 用 户 角 度 
来 前 述 VPN 技术 的 作用 与 优势 。 

(1) 安全 。VPN 使 用 通信 协议 、 身份 认证 和 数据 加 密 技 术 保 障 通信 的 安全 ,可 以 在 
远 端 用 户 、 驻 外 机 构 、 合 作 伙 伴 、 供 应 商 与 公司 总 部 之 间 建 立 可 靠 、 安 全 的 网 络 连 接 , 保 障 
数据 传输 的 安全 。 这 对 于 实现 电子 商务 .金融 .政府 网 络 的 通信 十 分 重要 。 

(2) IP 地 址 安全 。VPN 在 互联 网 中 传输 数据 时 是 加 密 的 ,互联 网 上 的 用 户 只 能 看 到 
公有 IP 地 址 ,而 看 不 到 数据 包 内 包含 的 专用 IP 地 址 。 

(3) 廉价 。VPN 利用 公共 网 络 进行 数据 信息 的 通信 ,企业 可 以 以 更 低 的 成 本 链接 远 
程 办 事 机 构 、 出 差 人 员 和 业务 伙伴 等 。 

(4) 文 持 移动 业务 。 文 持 驻 外 公司 员工 在 任何 时 间 、 任 何 地 点 通过 目前 已 非常 普及 
的 各 种 廉价 互联 网 接 人 方式 连接 到 远程 的 公司 内 部 网 络 ,能够 满足 不 断 增 长 的 移动 业务 

(5) 服务 质量 保证 。 构 建 具 有 服务 质量 (Quality of Service, QoS) 保 证 的 VPN, 可 以 
为 VPN 用 户 提供 不 同等 级 的 服务 质量 保证 ,减少 网 络 时 延 和 数据 传输 过 程 中 的 丢 包 率 。 

(6) 支持 最 常用 的 网 络 协 议 。 以 太 网 .TCP/IP 和 IPX 网 络 上 的 客户 端 可 以 很 容易 
地 使 用 VPN; 不 仅 如 此 ,任何 支持 远程 访问 的 网 络 协议 在 VPN 中 也 同样 有 效 。 这 意味 着 
可 以 远程 运行 依赖 于 特殊 网 络 协 议 的 程序 ,因此 可 以 减少 VPN 连接 的 维护 费用 。 

(7) 完全 控制 主动 权 。 企 业 可 以 利用 ISP 的 设施 和 服务 ,同时 又 完全 掌握 对 自己 的 
网 络 的 控制 权 。 例 如 ,企业 可 以 把 拨号 访问 交 给 ISP 去 实现 ,而 自己 负责 用 户 吴 份 、 访 问 
权 、 网 络 地 址 ,安全 性 和 网 络 变化 管理 等 重要 工作 ， 


2. VPN 的 特征 
VPN 技术 具有 以 下 两 个 特征 : 
(1) 专用 。VPN 与 抵 层 承载 网 络 之 间 保 持 资 源 独 立 , 在 正常 传输 的 情况 下 ,VPN 资 
源 不 会 被 网 络 中 其 他 VPN 用 户 或 者 非 VPN 用 户 所 使 用 ,同时 ,VPN 会 为 传输 的 数据 所 
供 安 全 保障 。 
(2) 虚拟 。VPN 用 户 与 企业 内 部 网 络 的 通信 和 是 通过 在 公共 的 基础 网 络 一 一 VPN 骨 
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干 网 上 建立 逻辑 连接 而 不 是 实际 上 的 物理 网 络 进行 的 ,这 个 公共 的 基础 网 络 同时 也 被 其 
他 的 非 VPN 用 户 使 用 ,但 这 并 不 影响 在 逻辑 上 独立 的 VPN。 


3. VPN 接 入 方式 

对 于 众多 不 同系 统 . 不 同 终端 设备 ,如 何 提供 统一 的 安全 ,快速 的 远程 接 和 人 服务 ,是 移 
动 办 公 最 主要 的 问题 之 一 ,VPN 技术 主要 有 拨号 VPN IPSec VPN 和 SSL VPN 3 种 接 
人 人 方式。 下 面 仅 介绍 SSL VPN。 

安全 套 接 层 (Secure Socket Layer,SSL) 协 议 是 目前 广泛 应 用 于 浏 览 器 与 服务 顺 之 间 
身份 认证 和 加 密 数 据 传输 的 协议 ,SSL 协议 采用 对 称 加 密 技 术 对 传输 的 数据 进行 加 密 ， 
采用 非 对 称 加 密 技 术 进 行 身 份 认证 和 交换 对 称 加 密 密 钥 。 

SSL VPN 与 拨号 VPN IPSec VPN 最 重要 的 区 别 是 : SSL VPN 是 一 种 应 用 层 的 
VPN 远程 连接 方式 ,而 后 两 种 是 网 络 层 的 VPN 远程 连接 方式 。 

采用 SSL VPN 拉 术 时 ,远程 客户 利用 浏览 套 内 建 的 SSL 封包 处 理 功 能 ,通过 浏览 着 
连接 企业 的 SSL VPN 网 关 , 然 后 通过 网 络 封包 转 回 的 方式 让 用 户 可 以 在 远程 计算 机 执 
行 应 用 程序 , 谈 取 企业 内 部 服务 融 数 据 。 它 采用 标准 的 安全 套 接 层 对 传输 中 的 数据 包 进 
行 加 密 , 从 而 在 应 用 层 保护 数据 的 安全 性 。 

SSL VPN 相 较 于 IPSec VPN 更 受到 企业 青睐 的 原因 主要 有 以 下 几 点 : 

(1) 它 更 适合 在 远程 办 公用 户 移动 员工 用 户 与 企业 内 网 服务 器 之 间 建 立 VPN。 

(2) 配置 简单 。SSL 协议 被 内 置 于 IE 和 360 安全 浏览 器 等 浏览 器 之 中 ,使 用 SSL 协 
以 进行 认证 和 数据 加 密 的 SSL VPN 无 须 安装 客户 闹 , 用 户 可 以 轻松 实现 安全 易 用 、 配 置 
简单 的 远程 访问 。 

(3) 细 分 控制 。SSL VPN 是 基于 应 用 层 的 远程 连接 方式 ,有 丰富 的 业务 控制 功能 ， 
在 对 应 用 的 细 分 控制 上 有 独到 之 处 ,如 行为 审计 可 以 记录 每 名 用 户 的 所 有 操作 ,为 更 好 地 
管理 VPN 提供 了 有 效 统 计数 据 , 从 而 降低 企业 的 总 成 本 并 提高 远程 用 户 的 工作 效率 , 容 
易 针 对 用 户 、 资 源 、 服 务 、 文 件 等 应 用 进行 更 细 化 的 访问 权限 划分 。 

(4) 认证 多 样 。 文 持 多 种 认证 方式 ,包括 本 地 认证 .邮箱 认证 、.LDAP 认证 .AD 域 认 
证 .短信 认证 等 ,满足 用 户 对 多 种 认证 方式 的 需求 。 

VPN 的 作用 是 隔离 外 部 网 络 和 内 部 网 络 ,不 同 的 部 署 方式 有 着 不 同 的 作用 。 当 前 主 
要 采用 的 VPN 部 署 模式 有 直路 部 署 . 劳 路 部 署 、 双 机 部 敬 和 多 ISP 部 署 4 种 。 直 路 部 署 
模式 将 安全 接 入 网 关 设 备 (VPN 设备 ) 以 串联 方式 连 人 网络 中 ,成 为 内 外 网 通信 的 唯一 路 
径 , 所 有 内 外 网 通信 都 需要 通过 VPN 设备 ;和 劳 路 部 署 模式 将 VPN 安全 接 人 平台 设备 与 
内 外 网 络 的 接口 连接 在 一 个 交换 机 上 , 它 的 接 人 无 须 修 改 现 有 的 网 络 拓扑 ,可 根据 需求 灵 
活 接 人 ; 双 机 部 署 有 主机 - 备 机 和 主机 -主机 两 种 模式 ,主机 - 备 机 模式 (AP) 是 指 当 主机 出 
现 故 障 宕 机 后 , 备 机 切换 成 主机 提供 服务 ,保证 网 络 连 通 性 ,主机 -主机 模式 (AA) 是 指 两 
台 设 备 都 在 线 工 作 , 当 其 中 一 台 设 备 宕 机 后 ,由 男 一 台 处 理 所 有 请 求 ;多 ISP 部 署 则 是 指 
VPN 结合 企业 网 络 的 具体 情况 ,提供 多 个 外 网 接口 ,可 分 别 配置 不 同 运 营 商 提供 的 IP 
地 址 。 

旁 路 部 署 的 SSL VPN 的 典型 拓扑 结构 如 图 3-8 所 示 。 


了 


SSL VPN 


| 安全 隧道 
CH AAA 
、 
员工 出 差 
酒店 
安全 隧道 x 


分 文 机 构 
图 3-8” 旁 路 部 署 SSL VPN 的 典型 拓扑 结构 


“3.13 ”思考 题 


1. 简 述 网 络 安全 设备 的 主要 特征 。 

2. 简 述 一 般 的 网 络 安 全 产品 采购 流程 。 

3. 企业 信息 系统 主要 可 分 为 接 入 区 .核心 交换 区 .业务 应 用 区 和 安全 管理 区 ,各 区 应 
部 署 哪些 安全 设备 ? 

4. VPN 的 英文 全 称 是 什么 ? 商 述 VPN 的 定义 和 特征 。 

5. SSL VPN 的 典型 拓扑 结构 是 怎样 的 ? 

6. 向 述 防 火场 的 作用 和 性 能 指标 。 

7. 简 述 上 网 行为 管理 设备 的 基本 功能 。 

8. WAF 的 英文 全 称 是 什么 ? 筒 述 WAF 产品 通常 具有 的 5 个 功能 。 

9. IPS 和 IDS 的 定义 是 什么 ? 它们 有 什么 区 别 ? 

10. 终端 安全 管理 系统 一 般 包 括 哪些 功能 模块 ? 

11. 漏洞 扫描 的 基本 原理 是 什么 ? 

12. 简 述 日 志 审 计 系 统 主 要 的 功能 。 
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在 网 络 空 间 中 ,攻防 双方 的 博弈 实质 上 是 信息 获取 能 力 的 对 抗 ,只 有 获知 更 多 .更 全 
面 的 网 络 空 间 信 息 .态势 ,才能 更 有 效 地 实施 网 络 安全 对 抗 策略 ,才能 在 网 络 空间 安全 对 
抗 中 拥有 信息 优势 而 取得 胜利 。 网 络 安全 态势 感知 技术 能 够 综合 各 方面 的 安全 因 系 ,从 
整体 上 动态 反映 网 络 安全 状况 ,并 对 安全 状况 的 发 展 趋 势 进行 预测 和 预 鸭 ,为 增强 网 络 安 
全 性 提供 可 徘 的 依据 。 本 和 曹 将 对 态 努 感知 进行 详细 的 介绍 ,首先 分 析 态 努 感 知 的 概念 与 
模型 ,然后 对 态势 感知 的 关键 技术 进行 分 析 。 


4.1.1 态势 感知 概述 


网 络 安全 态势 感知 对 影 啊 网 络 安全 的 诸多 要 系 进 行 获 取 、 理 解 . 评 佑 并 预测 未 来 的 安 
全 状况 发 展 趋 势 , 目 前 它 已 成 为 下 一 代 安 全 技术 的 焦点 。 网 络 安 全 态势 感知 是 对 网 络 安 
全 性 进行 定量 分 析 的 一 种 手段 ,是 对 网 络 安全 性 的 精细 度量 。 

最 早 的 态势 感知 的 定义 是 由 Endsley 于 1988 年 提出 的 ,态势 感知 (Situation 
Awareness',SA) 是 指 “" 在 一 定 的 时 空 范 围 内 ,感知 、 理 解 环境 因素 ,并 且 对 未 来 的 发 展 趋势 
进行 预测 ”, 该 定义 的 概念 模型 如 图 4-1 所 示 。 Ra nd 
航空 领域 人 为 因 系 的 考虑 ,在 军事 战场 .核反应 控制 、 空 中 交通 监 省 、 医 疗 应 急 调 度 以 及 通 
信 等 领域 被 广泛 地 人 研 究 ,并 没有 引信 人 到 网 络 安全 领域 。 


图 4-1 Endsley 态势 感知 流程 


Endsley 把 态势 感知 分 成 感知 .理解 和 预测 3 个 层次 的 信息 处 
(1) 感知 (perception) 。 感 知 和 获取 环境 中 的 重要 线索 或 元 素 。 
(2) 理解 (comprehension) 。 整 合 感 知 到 的 数据 和 信息 ,分 析 其 相关 性 。 
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(3) 预测 (projection)。 基 于 对 环境 信息 的 感知 和 理解 ,预测 相关 知识 未 来 的 发 展 

1999 年 ,Bass 等 指出 :“ 下 一 代 网 络 入 侵 检 测 系 统 应 该 融合 从 大 量 的 异 构 分 布 式 网 
络 传 感 硕 采集 的 数据 ,实现 网 络 空间 的 态势 感知 (cyberspace situation awareness)”。 星 
然 网 络 态势 根据 不 同 的 应 用 领域 可 分 为 安全 态势 .拓扑 态势 和 传输 态势 等 ,但 目前 关于 网 
络 态 势 的 全 究 都 是 围 比 网 络 的 安全 态势 展开 的 。 

网 络 安全 态势 感知 对 保障 信息 系统 的 安全 起 着 非 背 重要 的 作用 ,研究 网 络 安全 态势 
感知 技术 具有 下 列 意义 : 

(1) 态势 感知 的 数据 来 源 丰 富 , 儿 乎 赛 括 所 有 影 啊 网 络 安全 性 的 安全 要 素 , 包 括 网 络 
的 结构 信息 .系统 提供 的 服务 信息 .系统 存在 的 脆弱 性 .主机 的 恶意 代码 信息 和 网 络 的 各 
种 入 侵 信 息 等 , 比 只 考虑 单一 安全 要 系 轩 全面。 

(2) 态势 感知 过 程 规范 , 它 包 括 态 势 理解 .态势 评 佑 和 态势 预测 , 它 不 是 将 网 络 要 素 
进行 简单 的 汇总 和 全 加 ,而 是 以 一 系列 具有 理论 文 持 的 模型 为 基础 , 找 出 安全 要 系 之 则 的 
内 在 关系 ,根据 不 同 的 用 户 需 求 , 实 时 分 析 网 络 的 安全 状况 。 

(3) 态势 感知 结果 丰 驹 实用 。 人 态势 感 知 从 多 层次 .多 角度 、 多 粒度 分 析 网 络 的 安全 状 
况 ,包括 网 络 的 威胁 评 佑 脆弱 性 评估 安全 事件 评 佑 和 整体 安全 状况 的 评 舍 , 并 以 统计 图 表 
和 报表 的 形式 展现 给 用 户 , 同 时 提供 相应 的 加 固 方案 ,以 指导 网 络 管 理 员 提 高 网 络 的 安 
全 性 。 

(4) 态势 感知 能 对 网 络 安全 状况 的 发 展 趋势 进行 预测 ,有 预见 性 地 指导 网 络 管理 员 
及 时 采取 措施 ,预防 重大 安全 事件 的 发 生 。 

(5) 态势 感知 适用 范围 广 ,适用 性 强 ,能够 对 各 个 行业 和 各 种 规模 的 网 络 进行 分 析 。 


4.1.2 态 田 感知 的 概念 模型 


网 络 安全 态势 感知 概念 模型 是 开展 网 络 安全 态势 感知 研究 的 前 提 和 基础 。 通 过 建立 概述 
模型 ,可 以 对 信息 系统 组 件 之 间 以 及 组 件 与 环境 之 间 的 关联 关系 、 因 末 关 系 进 行 定 量 俩 究 。 

目前 ,对 网 络 安全 态势 感 知 并 没有 一 个 统一 而 全 面 的 定义 。 在 此 结合 态势 感知 的 过 
程 和 Endsley,、Bass 对 网 络 安全 态势 感知 的 人 研究 ,给 出 它 的 定义 及 如 图 4-2 所 示 的 概念 

网 络 安全 态势 感知 (Network Security Situation Awareness,NSSA) 是 综合 分 析 网 络 
的 安全 要 系 ,评估 网络 的 安全 状况 ,预测 其 变化 趋势 ,以 可 视 化 的 方式 展现 给 用 户 ,并 给 出 
相应 的 应 对 措施 和 报表 的 过 程 。 

根据 图 4-2 的 概念 模型 ,可 知 网 络 安全 态势 感知 的 过 程 分 为 4 步 . 

(1) 数据 米 集 。 通 过 各 种 检测 工具 ,对 影 啊 网 络 安 全 的 所 有 要 系 信 息 进 行 米 集 。 这 
一 步 是 态势 感知 的 前 提 .。 

(2) 态势 理解 。 对 各 种 网 络 安 全 要 系数 据 进行 处 理 , 分 析 影 啊 网 络 的 安全 事件 。 这 
一 步 是 态势 感知 的 基础 。 

(3) 态势 评 佑 。 定 性 和 定量 分 析 网 络 当 前 的 安全 状态 和 溥 弱 环节 ,并 给 出 相应 的 解 
决 方案 。 这 一 步 是 态势 感知 的 核心 。 
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图 4-2 网 络 安全 态势 感知 概念 模型 


(4) 态势 预测 。 预 测 网 络 安全 状况 的 发 展 趋 执 。 这 一 步 是 态势 感知 的 日 标 。 

网 络 安 全 态 努 感知 结 采 应 莱 具 深度 和 三 gre ene et VN 
多 角度 、 多 粒度 分 析 系 统 的 安全 性 和 提供 应 对 措施 ,以 统计 图 表 和 安全 报表 的 形式 展现 给 
用 尸 。 态 瓜 感 知 结 来 主要 包括 资产 评 信 和 \ 威 胁 评 信 和、 脆弱 性 评估、 安全 事件 评 信 整体 安全 
状态 评 信 、 安 全 趋势 预测 ,加 固 方 案 和 报表 生成 8 个 部 分 。 

资 地 评 信 。 评 信 网 络 中 每 个 资产 的 性 能 状 沉 和 安全 状 帝 ,包括 资产 的 性 能 利用 
率 \ 午 要 性 存在 的 威胁 和 脆弱 性 的 数量 、 安 全 状况 等 。 

威胁 评 信 。 评 信和 网 络 中 有 恶意 代码 和 网 络 和 人 侵 的 类 型 数量、 分 布 太 点 和 人 危害 等 


级 等 。 
@ 脆弱 性 评估 。 评 估 网 络 中 漏洞 和 管理 配置 脆弱 性 的 类 型 .数量 ,分 布 节点 和 危害 
等 级 等 。 


由 安全 事件 评 佑 。 评 佑 网 络 中 安全 事件 的 类 型 数量、 分 布 世 害 冬 

oo 整体 安全 状态 评 佑 。 综 合 分析 整 个 网 络 的 安全 状态 ， 给 出 网 络 的 安全 态势 值 ， 包 
括 整 个 网 络 的 安全 态势 的 保密 性 、 完 整 性 和 可 用 性 分 量 及 其 综合 态势 值 。 

安全 趋势 预测 。 预 测 网 络 中 威胁 数量 . 脆 罚 性 数量 .安全 事件 数量 和 整体 态 努 的 

QD 加 固 方案 。 分 析 和 危害 最 大 的 威胁 .脆弱 性 和 安全 事件 ,并 给 出 相应 的 解决 办 法 。 

报表 生成 。 根 据 不 同 的 应 用 需求 ,生成 不 同 的 安全 报表 。 安 全 报表 应 格式 规范 、 
内 容 充 实 、 针 对 性 强 。 


4 2 态势 感知 的 天 键 技 术 


4.2.1 数据 融合 


网 络 是 一 个 存在 不 确定 性 因 系 的 环境 ,有 各 类 安全 设备 ,提供 不 同 格式 的 安全 事件 信 
es 
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县 来 表征 系统 当前 的 状态 。 各 类 安全 设备 实际 形成 了 一 个 多 传 感 锅 环境 ,为 引入 多 传 感 
佑 的 数据 融合 拉 术 提供 了 客观 的 应 用 环境 。 

目前 ,在 网 络 安全 的 目标 跟 踊 \、 识 别人 态势 感知 以 及 威胁 售 计 方 面 ,数据 融合 技术 得 到 
了 相当 多 的 应 用 。 在 的 层 的 数据 融合 技术 实现 对 数据 的 压 红 、 提 烁 之 后 ,其 输出 结果 可 以 
作为 蜗 层 次 的 态势 感知 和 威胁 信 计 的 主要 依据 。 

数据 融合 古 一 个 多 级 多 层面 的 数据 处 理 过 程 ,主要 完成 对 来 日 多 个 信息 源 的 数据 进 
行 自动 监测 、 关 联 、 相 关 、 估 计 及 组 合 等 处 理 , 即 对 来 自 多 个 传感器 或 多 源 信息 进 行 综合 处 
理 , 从 而 得 到 更 为 准确 、 可 菲 的 结论 。 数 据 融 合 按 信息 抽象 程度 可 为 3 个 从 低 到 融 的 层 
次 : 数据 级 融合 、 特 征 级 融合 和 决 抹 级 融合 。 

在 这 3 个 层次 中 ,数据 级 融合 的 准确 性 最 高 ,能 够 提供 其 他 层次 上 的 融合 所 不 具备 的 
细 广 信息 ,但 因为 需要 人 处理 的 数据 量 大 ,对 于 计算 机 的 运算 速度 和 内 存 容量 要 求 较 高 ; 决 
人 级 的 融合 在 局 层次 上 进行 , 宕 要 处 理 的 数据 量 小 ,但 由 于 比较 抽象 和 模糊 ,精度 可 能 较 
差 ;特征 级 融合 介 于 两 者 之 间 。 

下 面 介绍 数据 融合 的 相关 方法 。 


1. 基于 逻辑 关系 的 融合 方法 

基于 逻辑 关系 的 融合 方法 依据 信息 之 间 的 内 在 逻辑 对 信息 进行 融和 。 和 警报 关联 是 典 
型 的 基于 人 逻辑 关系 的 融合 方法 。 鸭 报关 联 是 指 基 于 警报 信息 之 间 的 退 辑 关系 对 其 进行 融 
合 , 从 而 获取 宏观 的 攻击 态势 。 警 报 之 间 的 逻辑 关系 分 为 警报 属性 特征 的 相似 性 、 预 定义 
攻击 模型 中 的 关联 性 、 攻 击 的 前 提 和 后 继 条 件 之 间 的 相关 性 。 有 关 学 者 已 实现 了 通过 黎 
报关 联 从 海量 警报 信息 中 分 析 网 络 的 威胁 性 态势 的 方法 。 

基于 逻辑 关系 的 融合 方法 可 以 直观 地 反映 网 络 的 安全 态势 。 但 是 该 方法 的 局 限 性 
如 下 : 

(1) 融合 的 数据 源 为 单一 来 源 。 

(2) 逻辑 关系 的 获取 存在 很 大 的 难度 ,例如 攻击 预定 义 模型 的 建立 以 及 攻击 的 前 提 
和 后 继 条 件 的 形式 化 描述 都 存在 很 大 的 难度 。 

(3) 逻辑 关系 不 能 解释 系统 中 存在 的 不 确定 性 。 


2. 基于 数学 模型 的 融合 方法 

基于 数学 模型 的 融合 方法 需 综 合 考虑 影响 态势 的 各 项 态势 因素 ,构造 评定 图 数 ,建立 
态势 因素 集合 R 到 态势 空间 0 的 映射 关系 : 

0=f(risrass sora)s ri Ee ROUZiSn) 

其 中 ~; 为 态势 因 系 。 

加 权 平 均 法 是 最 徊 用、 最 简单 的 基于 数学 模型 的 融合 方法 。 加 权 平 均 法 的 融合 阴 数 
通 凋 由 态势 因素 和 其 重要 性 权 值 共同 确定 。 例 如 ,有 学 者 提出 了 层次 化 网 络 安全 威胁 仿 
势 量化 评估 方法 ,对 服务 .主机 本 喘 的 重要 性 因子 进行 加 权 ,层次 化 计算 服务 .主机 以 及 整 
个 网 络 系统 的 威胁 指数 ,进而 分 析 网 络 的 安全 态 执 。 

加 权 平 均 法 可 以 直观 地 融合 各 种 态势 因 系 ,但 是 其 最 主要 的 问题 是 权 值 的 选择 没有 
统一 的 标准 ,大 都 是 依据 领域 知识 或 者 经 验 而 定 ,缺少 客观 的 依据 。 
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3. 基于 概率 统计 的 融合 方法 

基于 逻辑 关系 的 融合 方法 和 基于 数学 模型 的 融合 方法 的 前 提 是 有 确定 的 数据 源 ,但 
是 当前 网 络 安全 设备 提供 的 信息 在 一 定 程度 上 是 不 完整 ,不 精确 的 ,其 至 存在 着 矛盾 , 包 
含 大 量 的 不 确定 信息 ,而 态势 评估 必须 借助 这 些 信息 进行 推理 ,因此 直接 基于 数据 源 的 融 
合 方 法 具有 一 定 的 局 限 性 。 对 于 不 确定 信息 ,最 好 的 解决 办 法 是 利用 对 象 的 统计 特性 和 
概率 模型 进行 操作 。 

基于 概率 统计 的 融合 方法 充分 利用 先 验 知识 的 统计 特性 ,结合 信息 的 不 确定 性 ,建立 
态势 评 佑 的 模型 ,然后 通过 模型 评估 网 络 的 安全 态势 。 贝 叶 斯 网 络 、 隐 马尔 可 夫 模 型 
(Hidden Markov Model, HMM) 是 最 常见 的 基于 概率 统计 的 融合 方法 。 

在 网 络 安全 态势 评估 中 , 贝 叶 斯 网 络 是 一 个 有 问 无 环 图 ,用 G= 二 (V,E), 来 表示 。 广 
点 了 表示 不 同 的 态势 和 事件 ,每 个 节点 对 应 一 个 条 件 概 率 分 配 表 ;节点 间 利 用 边 已 进行 
连接 ,反映 态势 和 事件 之 间 的 概率 依赖 关系 。 在 某 些 节点 获得 证 据 信 息 后 , 贝 叶 斯 网 络 在 
节点 加 传播 和 融合 这 些 信息 ,从 而 获取 新 的 态势 信息 。HMM 相当 于 动态 的 贝 叶 斯 网 络 ， 
它 是 一 种 采用 双重 随机 过 程 的 统计 模型 。 在 网 络 安全 态势 评估 中 ,将 网 络 安 全 状态 的 转 
移 过 程 定 义 为 隐 含 状态 序列 ,将 按照 时 序 获 取 的 态势 因素 定义 为 观察 值 序 列 ,利用 观察 值 
序列 和 隐 含 状态 序列 训练 HMM ,然后 用 HMM 评估 网 络 的 安全 态势 。 

基于 概率 统计 的 融合 方法 能 够 融合 最 新 的 证 据 信 息 和 先 验 知 识 ,而且 推理 过 程 清晰 ， 
易于 理解 。 但 是 该 方法 存在 以 下 局 限 性 : 

(1) 统计 模型 的 建立 需要 依赖 一 个 较 大 的 数据 源 , 在 实际 工作 中 会 花费 很 大 的 工作 
量 , 且 模型 需要 的 存储 量 和 匹配 计算 的 运算 量 相 对 较 大 ,容易 造成 维 数 爆炸 的 问题 ,影响 
态势 评 佑 的 实时 性 。 

(2) 特征 提取 、 模 型 构建 和 先 验 知识 的 获取 部 存在 一 定 的 困难 。 


4. 基于 规则 推理 的 融合 方法 

基于 规则 推理 的 融合 方法 自 先 模糊 量化 多 源 多 属性 信息 的 不 确定 性 ,然后 利用 规则 
进行 逻辑 推理 ,实现 网 络 安全 态势 的 评 佑 。 目前 D-S 证 据 组 合 方法 和 模糊 逻辑 是 研究 热 
所 。D-S 证 据 组 合 方法 对 单 源 数据 每 一 种 可 能 决策 的 文 持 程度 给 出 度量 , 即 数据 信息 作 
为 证 据 对 决策 的 支持 程度 ;然后 寻找 一 种 证 据 合 成 规则 ,通过 合成 能 得 出 两 种 证 据 的 联合 
对 决 案 的 支持 程度 ;通过 反复 运用 合成 规则 ,最 终 得 到 全 体 数 据 信 息 的 联合 体 对 攻 种 决策 
总 的 文 持 程 度 , 完 成 证 据 融 合 的 过 程 。 其 核心 是 证 据 合成 规则 。 

在 网 络 安全 态势 评 佑 中, 自 和 完 建 立 证 据 和 命 冲 之 间 的 逻辑 关系 , 即 态 势 因 系 到 态势 状 
仿 的 汇聚 方式 ,确定 基本 概率 分 配 ; 然 后 根据 到 来 的 证 据 , 即 每 一 则 事件 发 生 的 上 报信 息 ， 
使 用 证 据 合 成 规则 进行 证 据 合 成 ,得 到 新 的 基本 概率 分 配 , 并 把 合成 后 的 结果 提交 给 决策 
逻辑 进行 判断 ,将 具有 最 大 置信 上 度 的 命题 作为 备 选 命 懒 。 当 不 断 有 事件 发 生 时 ,这 个 过 程 
便 得 以 继续 ,直到 备 选 命题 的 置信 和 度 超过 一 定 的 国 值 ,证据 达 到 要 求 , 即 认 为 该 命题 成 立 ， 

模糊 逻辑 提供 了 一 种 处 理 人 类 认 知 不 确定 性 的 数学 方法 ,对 于 模型 未 知 或 不 能 确定 
的 手 述 系统 ,应 用 模糊 集合 和 模糊 规则 进行 推理 ,实现 栋 糊 综合 判断 。 
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加 网 络 安 全 运营 


在 网 络 安全 态势 评 伯 中 ,首先 对 单 源 数据 进行 局 部 评估 ,然后 选取 相应 的 模型 参数 ， 
针对 局 部 评 佑 结 采 建立 隶属 度 力 数 ,将 其 划分 到 相应 的 模 炎 集合 ,实现 具体 值 的 模糊 化 ， 
将 结果 进行 量化 。 量 化 后 ,如 采用 个 状态 属性 值 超过 了 预先 设 定 的 国 值 , 则 将 局 部 评 仿 结 
采 作 为 因 采 推理 的 输入 ,通过 模糊 规则 推理 对 态势 进行 分 类 识别 ,从 而 完成 对 当前 态 色 的 
评 合 。 

基于 规则 推理 的 融合 方法 不 需要 精确 了 解 概率 分 布 ,当先 验 概率 很 难 获 得 时 ,该 方法 
更 为 有 效 。 这 种 方法 缺点 是 计算 复杂 度 高 ,而 且 当 证 据 出 现 冲 突 时 ,这 种 方法 的 准确 性 会 
受到 严重 的 影响 ， 


4.2.2 IUCN 态势 预 测 | 


网 络 安全 态势 的 预测 是 指 根据 网 络 安全 态势 的 历史 信息 和 当前 状态 对 网 络 未 来 一 段 
时 间 的 发 展 趋 势 进行 预测 。 网 络 安全 态势 的 预测 是 态势 感知 的 一 个 基本 目标 。 

由 于 网 络 攻击 的 随机 性 和 不 确定 性 ,使 得 以 此 为 基础 的 安全 态势 变化 是 一 个 复杂 的 
非 线 性 过 程 ,限制 了 传统 预测 模型 的 使 用 。 目 前 网 络 安全 态势 预测 一 般 采 用 神经 网 络 .时 
间 序 列 预测 法 和 支持 回 量 机 等 方法 。 

神经 网 络 是 日 前 最 常用 的 网 络 态 势 预测 方 法 ,该 方法 首先 以 一 些 输 入 输出 数据 作为 
训练 样本 ,通过 网 络 的 日 学 习 能 力 调整 权 值 ,构建 态势 预测 模型 ;然后 运用 态势 预测 模型 ， 
实现 从 输入 状态 到 输出 状态 空间 的 非 线 性 映射 。 

神经 网 络 具 有 上 自学 习 、 自 适应 性 和 非 线 性 处 理 的 优点 。 男 外 ,神经 网 络 内 部 神经 元 之 
间 复 杂 的 连接 和 可 变 的 连接 权 值 和 矩阵 使 得 模型 运算 中 存在 高 度 见 余 , 因 此 神经 网 络 具 有 
民 好 的 容错 性 和 稳健 性 。 但 是 神经 网 络 也 存在 一 些 问 题 , 如 难以 提供 可 信 的 解释 、 训 练 时 
间 长 .过度 拟 合 或 者 训练 不 足 等 。 

时 间 序 列 预测 法 是 通过 时 间 序 列 的 历史 数据 换 示 人 态势 随时 间 变 化 的 规律 ,将 这 种 规 
律 延 伸 到 未 来 ,从 而 对 态势 的 未 来 作出 预测 。 在 网 络 安全 态势 预测 中 ,将 根据 态势 评估 获 
取 的 网 络 安全 态势 值 x 抽象 为 时 间 序 列 1 的 函数 , 即 过 = Fi) ,此 态势 值 具有 非 线 性 的 特 
点 。 网 络 安全 态势 值 可 以 看 作 一 个 时 间 序 列 ,假定 有 网 络 安全 态势 值 的 时 间 序 列 x 二 {x; 
| Xi€ Ri 二 1,2,… ,二 ) ,预测 过 程 就 是 通过 序列 的 前 N 个 时 刻 的 态势 值 预测 出 后 M 个 
态势 值 。 时 间 序 列 预测 法 在 实际 应 用 时 比较 方便 ,可 操作 性 较 好 。 但 是 ,要 想 建 立 精度 相 
当 高 的 时 序 模 型 ,不 仅 要 求 得 到 模型 参数 的 最 佳 估计 ,而 且 模 型 阶 数 也 要 合适 , 建 模 过 程 
是 相当 复杂 的 。 

文 持 回 量 机 是 一 种 基于 统计 学 习 理 论 的 模式 识别 方法 ,其 基本 原理 是 : 通过 一 个 非 
线性 映射 将 输入 空间 向 量 映射 到 一 个 高 维特 征 空间 ,并 在 此 空间 上 进行 线性 回归 ,从 而 将 
低 维 特征 空间 的 非 线 性 回归 问题 转换 为 高 维特 征 空间 的 线性 回归 问题 。 

综 上 所 述 , 神 经 网 络 主要 依 徘 经 验 风 险 最 小 化 原则 ,容易 导致 沁 化 能 力 的 下 降 , 旦 模 
型 结构 难以 确定 。 在 学 习 样 本 数量 有 限时 ,学 习 过 程 误差 易 收敛 于 局 部 极 小 点 ,学习 精度 
难以 保证 ;在 学 习 样 本 数量 很 多 时 ,又 陷 人 维 数 灾难 , 泛 化 性 能 不 高 。 而 时 间 序 列 预测 法 
在 处 理 具 有 非 线 性 关系 , 非 正 态 分 布 特性 的 宏观 网 络 安全 态势 但 所 形成 的 时 间 序 列 数据 
时 效果 并 不 理想 。 支 持 同 量 机 有 效 避 人 免 了 上 述 方法 所 面临 的 问题 ,预测 绝对 误差 小 ,保证 
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了 预测 的 正确 率 , 能 准确 预测 网 络 安全 态势 的 发 展 趋势 。 


. 态势 感知 的 定义 是 什么 ? 

. 简 述 Endsley 提出 的 态势 感知 流程 。 

. 态势 感知 在 网 络 安全 领域 的 作用 是 什么 ? 
. 有 哪些 数据 融合 技术 ? 

. 请 说 出 3 种 态势 预测 的 方法 。 


> 0 D3 王 
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Ty 


志 踪 济源 与 取证 


通过 追踪 溯源 ,可 以 确定 攻击 源 或 攻击 所 使 用 的 中 间 介 质 以 及 相应 的 攻击 路 径 , 以 此 
制定 更 有 针对 性 的 防护 或 反 制 措施 ,实现 网 络 主动 防御 ,占领 网 络 攻防 制高点 ,确保 企业 
网 络 安全 。 网 络 攻击 追踪 渊源 是 网 络 攻防 一 体 化 中 的 关键 环节 ,是 网 络 攻防 体系 中 从 被 
动 防御 问 主 动 防御 有 效 转 换 的 重要 步骤 。 本 章 将 对 追踪 济源 的 概念 、 作 用、 流程 等 内 容 进 
行 详细 介绍 。 


5 1 人 奶 蹊 漳 产 


5.1.1 追踪 溯源 概述 


随 看 网 络 和 信息 化 应 用 的 不 断 普 及 , 随 之 而 来 的 是 基于 网 络 的 计算 机 攻击 也 愈 演 愈 
烈 , 各 种 新 型 攻击 于 段 和 0Day 涯 润 不 断 地 被 利用 ,严重 威胁 看 社会 和 国家 的 安全 ,而 且 
网 络 攻击 者 大 都 使 用 伪造 的 IP 地 址 ,使 被 攻击 者 很 难 确 定 攻 击 源 的 位 置 , 从 而 不 能 实施 
有 和 针对 性 的 防护 芝 略 。 这 些 虱 使 得 逆 问 追踪 攻击 源 的 追 踊 湖 源 技术 成 为 网 络 主动 防御 体 
系 中 的 重要 一 环 , 它 对 于 最 小 化 攻击 的 当前 效 末 、 威 慑 浴 在 的 网 络 攻击 都 有 着 至 关 重 要 的 
作用 。 


追踪 渊源 是 指 按 踪 迹 或 线索 ,探寻 事物 的 根本 .源头 。 在 计算 机 网 络 中 ,追踪 渊源 特 
指 通 过 网 络 确定 网 络 攻 击 者 的 身份 或 位 置 以 及 攻击 的 中 间 人 介质, 还原 攻击 路 径 。 身 份 是 
指 攻 击 者 的 名 字 、 账 号 或 与 之 有 关系 的 类 似 信 息 ; 位 置 包括 其 地 理 位 置 或 虚拟 地 址 ,如 IP 
地 址 .MAC 地址 等 。 追 踪 湖 源 过 程 还 能 够 提供 其 他 辅助 信息 ,例如 攻击 路 往 和 攻击 时 
序 等 。 

仍 蹊 溯源 涉及 的 设备 包括 攻击 者 .被 攻击 者 .跳板 .僵尸 机 反射 希 等 。 攻 击 者 
(attacker host) 指 发 起 攻击 的 主机 ,也 是 人 妃 蹊 溯源 布 望 发 现 的 目标 。 被 攻击 者 (victim 
host) 指 受到 攻击 的 主机 ,也 是 攻击 源 追 足 的 起 点 。 跳 板 (Cstepping stone) 指 已 经 被 攻击 者 
危及 并 作为 其 通信 管道 和 隐藏 身 份 的 主机 。 僵 尸 机 (zombie) 指 已 经 被 攻击 者 危及 并 被 其 
用 于 发 起 攻击 的 主机 。 反 射 需 (reflector) 指 未 被 攻击 者 危及 ,但 在 不 知情 的 情况 下 参与 
了 攻击 的 主机 。 

网 络 管理 者 可 使 用 追踪 溯源 技术 定位 真正 的 攻击 源 , 以 采取 多 种 安全 策略 和 手段 ,从 
源头 抑制 攻击 ,防止 网 络 攻 击 市 来 更 大 破坏 ,并 记录 攻击 过 程 , 为 后 续 的 抑制 或 者 反击 提 
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供 必 要 的 记录 。 

一 个 理想 的 攻击 追踪 溯源 能 够 有 效 确定 攻击 者 的 身份 或 位 置 ,但 是 ,高 能 攻击 者 总 是 
会 采取 各 种 各 样 的 手段 或 技术 隐藏 自身 的 信息 ,逃避 追踪 。 因 此 ,实际 上 ,网 络 管理 者 不 
能 轻易 地 追踪 定位 攻击 源头 ,只 能 够 确定 攻击 中 间 介 质 或 攻击 路 径 上 的 某 台 主机 等 。 但 
是 ,即使 这 样 的 结果 ,也 能 让 网 络 管理 者 切断 攻击 链 路 ,实施 有 针对 性 的 防护 措施 ,减少 攻 


2. 追 踩 溯源 面临 的 挑战 

由 于 当前 的 TCP/IP 对 IP 包 的 源 地 址 没有 验证 机 制 以 及 互联 网 基础 设施 的 无 状态 
性 ,使 得 想 要 追踪 数据 包 的 真实 起 点 已 经 很 不 容易 ,而 要 查找 那些 通过 多 个 跳板 或 反射 需 
等 实施 攻击 的 真实 源 地 址 就 更 加 困难 。 具 体 体 现在 以 下 几 方 面 : 

(1) 当前 主要 的 网 络 通信 协议 (TCP/IP) 中 没有 对 传输 信息 进行 加 密 认 证 的 措施 ,使 
得 各 种 IP 地 址 伪造 技术 出 现 , 利 用 攻击 数据 包 中 源 IP 地 址 无 法 实现 追 踊 湖 源 。 

(2) 互联 网 已 从 原来 单纯 的 专业 用 户 网 络 变 为 各 行 各 业 都 可 以 使 用 的 大 众 化 网 络 ， 
其 结构 更 为 复杂 ,使 攻击 者 能 够 利用 网 络 的 复杂 性 逃避 追 踩 渊源 。 

(3) 各 种 网 络 基础 和 应 用 软件 缺乏 足够 的 安全 考虑 ,攻击 者 可 以 通过 俘获 大 量 主机 
资源 ,发 起 间接 攻击 并 隐藏 上 自己 。 

(4) 一 些 新 技术 在 为 用 户 宰 来 好 处 的 同时 ,也 给 追踪 渊源 带 来 了 更 大 的 障碍 。 虚 拟 
专用 网 络 采 用 的 IP 隧道 技术 使 得 安全 防护 系统 无 法 获取 数据 报 文 的 信息 ;网 络 服务 供应 
商 采 用 的 地 址 池 和 地 址 转换 技术 使 得 网 络 IP 地 址 不 再 固定 对 应 特定 的 用 户 ;移动 通信 网 
络 技术 的 出 现 更 是 给 追踪 漳 源 提出 了 实时 性 的 要 求 。 这 些 新 技术 的 应 用 都 使 得 网 络 追 踪 
渊源 变 得 更 加 困难 。 

(5) 目前 追踪 调 源 技术 的 实施 还 得 不 到 法 律 保障 。 例 如 ,在 追踪 涡 源 技术 中 ,提取 IP 
报 文 信息 涉及 个 人 隐私 。 这 些 问题 不 是 只 靠 技 术 手段 所 能 解决 的 。 


3. 仍 踩 溯源 的 分 类 

按照 追踪 溯源 的 时 间 , 可 以 将 追踪 溯源 分 成 实时 追踪 溯源 以 及 事后 追踪 溯源 。 实 时 
追踪 溯源 是 指 在 网 络 攻击 行为 发 生 过 程 中 寻找 事件 的 发 起 者 。 事 后 追踪 溯源 是 指 在 网 络 
攻击 行为 发 生 后 ,依据 相关 设备 上 的 日 志 信息 查找 事件 的 发 起 者 . 

按照 追踪 溯源 实现 的 位 置 ,可 以 将 追踪 溯源 分 成 基于 终端 的 追踪 溯源 以 及 基于 网 络 
设备 的 追踪 溯源 。 基 于 终端 的 追踪 溯源 通常 是 指 追踪 漳 源 行为 的 主要 工作 是 在 通信 参与 
者 的 网 络 终端 上 实施 的 。 基 于 网 络 设施 的 追踪 渊源 通常 是 指 追踪 溯源 行为 的 主要 工作 是 
在 网 络 设备 上 实施 的 。 

按照 追踪 溯源 发 起 者 ,可 以 将 追踪 漳 源 分 成 第 三 方 发 起 的 追踪 溯源 以 及 通信 参与 者 
发 起 的 追踪 溯源 。 第 三 方 发 起 的 追踪 溯源 通常 是 网 络 运营 商 或 者 经 授权 的 部 门 发 起 的 ， 
通信 参与 者 发 起 的 追踪 溯源 通常 是 由 参与 通信 的 一 方 发 起 的 ， 

按照 追踪 溯源 是 否 需 要 带 外 通信 ,可 以 将 追踪 溯源 分 成 带 外 追踪 湖 源 以 及 带 内 追踪 
溯源 。 带 外 追踪 溯源 是 指 需要 采用 带 外 通信 手段 收集 相关 信息 和 /或 下 发 相关 指令 来 实 
施 的 追踪 溯源 。 带 内 追踪 溯源 是 指 不 需要 采用 带 外 通信 手段 ,只 需要 网 络 现 有 的 信道 即 
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可 实施 的 追踪 渊源 。 

按照 被 追踪 溯源 的 地 址 ,可 以 将 追踪 溯源 分 成 针对 虚假 地 址 的 追踪 溯源 以 及 针对 真 
实地 址 的 追 蹊 渊源。 针对 虚假 地 址 的 追 蹊 渊源 是 指 查 找 分 组 真正 的 发 起 者 。 针 对 真实 地 
址 的 追踪 溯源 是 指 查找 源 地 址 拥有 者 和 /或 接 人 点 ,针对 真实 地 址 的 追踪 渊源 通常 查找 动 
态 地 址 在 特定 时 间 的 使 用 者 。 

此 外 ,根据 追踪 溯源 的 目标 ,可 以 将 追踪 溯源 分 成 查找 路 径 的 追踪 溯源 以 及 查找 发 起 
者 的 妃 蹊 亢 源 。 查 找 路 径 的 追踪 渊源 只 查找 分 组 在 网 络 中 的 路 径 , 可 以 用 于 虚假 地 址 的 
追 躁 湖 源 ,也 可 以 用 于 不 需要 查找 发 起 者 的 场景 。 查 找 发 起 者 的 追 踊 湖 源 可 以 不 恢复 路 
径 , 通 常 针对 真实 地 址 ,查找 IP 地 址 在 特定 时 间 的 使 用 者 。 


4. 追踪 溯源 的 意义 

网 络 追 踩 溯源 技术 的 研究 及 应 用 在 网 络 安全 中 具有 十 分 重要 的 意义 ,为 企业 信息 系 
统 安 全 ,防范 网 络 攻 击 等 提供 有 力 的 技术 保障 。 

(1) 利用 追踪 渊源 技术 可 以 及 时 确定 攻击 源头 ,使 防御 方 能 够 及 时 地 制定 .实施 有 针 
对 性 的 防御 策略 ,提高 网 络 主动 防御 的 及 时 性 和 有 效 性 。 

(2) 利用 追踪 济源 技术 ,可 以 使 防御 方 在 确定 攻击 源 后 通过 拦截 .隔离 .关闭 等 手段 
将 攻击 损害 降 到 最 低 ,保障 网 络 平稳 健康 地 运行 。 

(3) 利用 追踪 溯源 技术 ,在 定位 攻击 源 后 ,通过 多 部 门 配合 协调 ,可 关闭 攻击 主机 并 
对 其 进行 搜查 ,从 源头 保障 网 络 运行 安全 。 

(4) 利用 追踪 溯源 技术 ,可 追踪 定位 网 络 内 部 的 攻击 行为 ,防御 内 部 攻击 。 

(5) 利用 追踪 溯源 技术 ,可 以 对 各 种 网 络 攻 击 过 程 进 行 记 录 , 为 司法 取证 提供 有 力 的 
文 撑 ,威慑 网 络 犯罪 。 


5.1.2 ”追踪 溯源 的 信息 需 ; 


1. 网 络 数据 流 

网 络 数据 流 最 初 是 通信 和 领域 使 用 的 概念 ,代表 网 络 传输 中 使 用 的 信息 效 字 编码 序列 。 
这 里 说 的 网 络 数 据 流 是 计算 机 网 络 中 按照 规定 的 格式 组 织 起 来 的 一 串 数字 编 公 ,用 于 在 
网 络 中 通信 和 实体 间 的 信息 交互 。 

网 络 数 据 流 中 包含 源 地 址 \ 目 标 地 址 ,信息 内 容 等 用 于 通信 的 所 有 信息 ,追踪 者 可 以 
采取 一 定 的 技术 手段 获取 网 络 数 据 流 ,进行 准确 的 数据 流 分析 , 并 从 中 获知 数据 的 来 源 ， 
判断 数据 是 否 会 导致 恶意 行为 。 

获取 网 络 数 据 流 的 手段 一 般 为 网 络 抓 包 , 篆 用 的 抓 包 工具 有 Sniffer、Wireshark、 
TcpDump 等 。 追 蹊 者 使 用 这 些 抓 包 工具 ,将 网 络 接口 设置 为 监听 模式 , 便 可 以 将 网 上 传 
输 的 数据 信息 截获 。 网 络 抓 包 技术 广泛 地 应 用 于 网 络 故 障 分 析 .协议 分 析 .应 用 性 能 分 析 
和 网 络 安全 保障 等 领域 。 从 网 络 追 踪 漳 源 的 角度 看 ,网 络 数据 流 的 特性 有 以 下 几 个 : 

(1) 网 络 数据 传输 率 快 。 随 看 网 络 技术 的 发 展 ,网 络 数 据 传输 率 不 断 攀 升 ,对 追踪 者 
来 说 。 如 何 快 速 采 集 高 速 的 网 络 数据 流 并 进行 正确 的 分 析 是 其 面 对 的 主要 挑战 。 

(2) 数据 多 被 贷 改 、 伪造。 目前 网 络 所 使 用 的 TCP/IP 没有 源 地 址 认证 等 安全 措施 ， 
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攻击 者 能 够 对 数据 源 地 址 字段 直接 进行 修改 或 者 伪造 ,从 而 达到 隐藏 自身 的 目的 。 

(3) 网 络 数据 流 具 有 时 间 .内 容 上 的 相关 性 。 网 络 数据 在 传输 的 过 程 中 会 经 过 路 由 
硕 、 交换 机 等 网 络 设备 ,也 会 经 过 主机 .应 用 服务 需 等 系统 。 路 由 希 、 交 换 机 等 网 络 设备 对 
数据 本 身 不 作 处 理 , 只 需要 按照 数据 段 中 的 地 址 信息 ,根据 网 络 路 由 结构 及 策略 进行 数据 
转发 。 根 据 网 络 协议 ,转发 前 后 的 数据 包 内 容 一 般 不 会 发 生变 化 ,因此 在 路 由 器 、 交 换 机 
前 后 的 数据 流 应 该 具有 内 容 上 的 相关 性 。 通 过 前 后 数据 流 内 容 相 关 可 以 确定 网 络 传输 路 
径 。 网 络 数据 还 会 经 过 主机 ,应 用 服务 器 等 系统 ,从 而 为 用 户 提 供 网 络 相 关 应 用 服务 , 例 
如 DNS 查询 、TCP 会 话 连 接 等 。 这 样 的 数据 流 在 进入 相应 系统 并 经 过 处理 后 ,系统 会 按 
照 一 定 的 规则 进行 响应 ,其 响应 信息 与 请 求 信息 在 内 容 上 存在 较 大 的 差异 ,从 内 容 的 角度 
是 找 不 到 相关 性 的 。 然 而 这 样 的 交互 信息 流 在 时 间 上 却 存在 较 大 的 相关 性 ,通过 时 间 上 
的 相关 分 析 , 可 以 确定 请 求 和 响应 数据 流 之 间 的 关联 。 在 网 络 攻击 追踪 溯源 的 过 程 中 ,为 
了 提高 准确 性 ,降低 误 追 踪 率 ,可 以 综合 利用 数据 流 在 内 容 和 时 间 上 的 相关 性 ,确定 特定 
数据 流 的 传输 路 径 。 


2. 日 志 信 息 

为 了 维护 上 自身 系统 资源 的 运行 状况 ,信息 系统 中 的 信息 设备 ,例如 计算 机 、 路 由 顺和 
防火 墙 秆 ,一 般 都 会 有 相应 的 日 志 记 录 系 统 ,存放 有 关 日 常 时 间或 者 误 操 作 和 警报 的 日 期 及 
时 间 惟 等 信息 。 

所 谓 日 志 是 指 系 统 所 指定 对 象 的 某 些 操 作 和 操作 结果 的 描述 按时 间 有 序 排列 的 集 
合 。 日 志文 件 由 日 志 记 录 组 成 ,每 条 日 志 记 录 描 述 了 一 个 单独 的 系统 事件 。 通 常情 况 下 ， 
系统 日 志 是 用 户 可 以 直接 阅读 的 文本 文件 ,其 中 包含 一 个 时 间 惟 ,还 有 子 系统 特有 的 其 他 
信息 。 日 志文 件 为 服务 站 ,工作 站 ,防火墙 和 应 用 软件 等 资源 相关 活动 记录 必要 的 、 有 价 
值 的 信息 ,这 对 系统 监控 查询、 报表 和 安全 审计 是 十 分 重要 的 。 日 志文 件 中 的 记录 有 以 
下 用 途 : 监控 系统 资源 ;审计 用 户 行为 ;对 可 疑 行为 告警 ;确定 入 侵 行为 的 范围 ;为 恢复 系 
统 提供 帮助 ;生成 调查 报告 ;为 打击 计算 机 犯罪 提供 证 据 来 源 。 

日 志文 件 记 录 了 系统 中 特定 时 间 的 相关 活动 信息 ,从 网 络 追踪 溯源 的 角度 看 ,日 志 主 
要 有 以 下 特点 。 

(1) 数据 量 大 。 通 常 对 外 服务 产生 的 日 志文 件 ( 如 Web 服务 日 志 、 防 火 墙 ,人 侵 检 测 
系统 日 志和 数据 库 日 志 等 ) 容 量 都 很 大 ,使 得 获取 和 分 析 日 志 信 息 的 难度 大 大 增加 。 

(2) 不 易 获 取 。 有 目前 国际 上 仍 未 形成 标准 的 日 志 格 式 。 不 同 的 操作 系统 .应 用 软件 、 
网 络 设备 会 产生 不 同 的 日 志文 件 ; 即 使 是 相同 的 服务 (如 IIS) ,也 可 能 采取 不 同 格式 的 日 
志文 件 记录 日 志 信 息 。 如 何 获 取 并 理解 各 类 不 同系 统 产 生 的 不 同 的 日 志文 件 是 有 一 定 困 
难 的 。 男 外 ,在 追踪 济源 的 过 程 中 ,需要 调查 的 网 络 设备 如 果 分 属 不 同 的 管理 机 构 其 至 是 
不 同 的 国家 时 ,获取 系统 日 志 信 息 需 要 协调 啊 应 管理 结构 , 握 弃 政治 、 经 济 等 利益 冲突 也 
是 一 个 巨大 挑战 。 

(3) 易 被 修改 .破坏 甚至 伪造 。 产 生 系 统 日 志 的 软件 通常 为 应 用 系统 ,而 不 是 作为 操 
作 系 统 的 子 系统 运行 ,这 些 应 用 所 产生 的 日 志 记 录 容 易 遭 到 恶意 的 破坏 或 修改 。 系 统 日 
志 通 常 存储 在 系统 未 经 保护 的 目录 中 ,并 以 文本 格式 存储 ,未 经 加 密 和 校 验 处 理 , 没 有 提 
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供 防 止 恶意 算 改 的 有 效 保护 机 制 。 由 于 日 志 是 直接 反映 人 侵 者 痕迹 的 ,在 计算 机 取证 中 
扮演 着 重要 的 角色 ,入 侵 者 获取 系统 权限 ,窃取 机 密 信 息 或 破坏 重要 数据 后 ,往往 会 修改 
或 删除 与 之 相关 的 日 志 人 信息, 甚至 根据 系统 的 漏洞 伪造 日 志 以 迷惑 安全 人 员 。 因 此, 日志 
文件 并 不 一 定 是 可 靠 的 。 

在 网 络 攻击 追踪 渊源 的 过 程 中 如 何 获取 存储、 处 理 日 志 并 确保 其 真实 性 是 网 络 追踪 
溯源 技术 面临 的 主要 问题 。 

3. 恶意 代码 

亚 意 代码 一 般 指 使 计算 机 按照 攻击 者 的 意图 运行 以 达到 恶意 目的 的 指令 集合 。 这 些 
指令 集合 包括 二 进 制 执 行文 件 . 脚 本 语言 代码 、 宏 代码 .寄生 在 启动 请 区 的 指令 流 等 ,具体 
表现 形式 有 计算 机 病毒 .蠕虫 .恶意 移 动 代 码 . 后 门 、 木马、 僵尸 程序 ,内核 套件 和 融合 型 恶 
意 代 码 等 ,如 表 5-1 所 示 。 

表 5-1 恶意 代码 类 型 一 览 
恶意 代码 类 型 定义 特征 典型 实例 

通过 感染 文件 或 磁盘 引导 扇 区 进行 传播 ,一 般 需 要 宿主 程 
序 被 执行 或 人 为 交互 才能 运行 
一 般 为 不 需要 宿主 的 单独 文件 ,通过 网 络 传播 自动 复制 ， 
通常 无 须 人 为 交互 便 可 感染 传播 


计算 机 病毒 CIH Brain 


Code Red Slammer 


从 远程 主机 下 载 到 本 地 执行 的 轻 量 级 恶意 代码 ,不 需要 人 


为 干预 或 仅 需要 极 少 的 人 为 干巴 ee 
绕 过 正常 的 安全 控制 机 制 , 从 而 为 攻击 者 提供 访问 系统 的 | 
本 Netcat BO 
途径 

伪装 成 有 用 软件 ,隐藏 其 恶意 目标 ,欺骗 用 户 安装 和 执行 “| Setri 

使 用 一 对 多 的 命令 和 控制 机 制 组 成 僵尸 网 络 Agobot, Sdbot 
通过 替换 或 修改 系统 关键 可 执行 文件 或 者 控制 操作 系统 | ， 


内 核 , 以 获取 并 保持 最 高 控制 权 
融合 上 述 多 种 恶意 代码 ,构成 更 具 破 坏 性 的 恶意 代码 形态 | Nimda 


恶意 代码 具有 的 共同 特征 是 : 恶意 的 目的 ;@ 本 身 为 计算 机 程序 ;@ 通 过 执行 程序 
产生 破坏 的 效果 。 

在 网 络 攻击 追踪 溯源 的 过 程 中 ,追踪 者 可 以 对 恶意 代码 进行 逆向 分 析 , 从 而 确定 攻击 
目的 、 攻 击 时 序 以 及 攻击 命令 控制 机 制 等 ,这 些 信息 对 确定 攻击 来 源 以 及 攻击 者 身份 非常 
关键 。 

4. 主动 生成 的 追 ek 

除了 网 络 数据 流 ,日 志和 恶意 代码 外 ,在 追踪 滴 源 过 程 中 ,追踪 者 根据 具体 的 追踪 志 
eb hatter tigers 息 的 数据 包 用 于 追踪 湖 源 。 例 如 ,Itrace 
技术 就 是 在 网 络 路 由 节点 处 将 路 由 节点 信息 及 传输 数据 的 摘要 以 ICMP 数据 包 的 形式 发 
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送 到 接收 端 ,追踪 者 需要 对 这 些 带 有 路 径 信息 的 ICMP 数据 包 进 行 分 析 , 重 构 数据 传输 路 
径 。 另 一 类 主动 生成 溯源 信息 的 技术 是 对 包 进 行 标记 。 该 类 技术 由 部 署 在 网 络 路 由 节点 
的 特定 功能 的 设备 或 软件 对 通过 路 由 节点 的 数据 包 进行 标记 ,利用 JP 数据 包 中 预 留 的 字 
段 , 对 数据 的 网 络 传输 路 径 信息 进行 标识 记录 处 理 ,使 数据 中 包含 路 径 信息 。 在 受害 者 端 
接收 经 过 标记 处 理 的 数据 包 , 通 过 重 构 路 径 算 法 重 构 数据 的 网 络 传输 路 径 。 


5.1.3 奶 踩 溯源 的 层次 划分 


从 前 一 节 网 络 攻击 追踪 淹 源 的 概念 可 以 知道 ,网 络 攻击 追踪 湖 源 就 是 在 网 络 空间 中 
通过 攻击 行为 和 攻击 中 间 介质 (跳板 .僵尸 机 、 反 射 器 ) 重 构 攻击 路 径 , 最 终 确定 真正 的 攻 
击 者 的 过 程 。 在 反 向 追踪 定位 的 过 程 中 ,会 涉及 攻击 中 间 介 质 的 确定 以 及 攻击 路 径 的 
重 构 。 

根据 网 络 攻击 介质 识别 确认 、 攻 击 路 径 的 重 构 以 及 追踪 淹 源 的 深度 和 细微 程度 ,可 将 
网 络 追踪 溯源 分 为 4 个 层次 。 


1. 第 一 层 : 追踪 溯源 攻击 主机 

第 一 层 追踪 湖 源 攻击 主机 的 目的 是 定位 攻击 主机 , 即 直接 实施 网 络 攻击 的 主机 。 其 
追踪 溯源 问题 可 描述 如 下 。 

如 图 5-1 所 示 ,网络 数 据 由 Pl 产生 ,通过 有 3 一 R4 传输 到 接收 闪 P3 ,第 一 层 追 踩 溯 源 
问题 可 描述 为 : 给 定 网 络 数据 ,如 何 确定 P1? 第 一 层 追踪 溯源 问题 又 常常 称 为 JP 追踪 
(IP-Traceback)., 


图 5-1 第 一 层 妃 踊 溯 源 问题 描述 


第 一 层 追 踪 漳 源 技术 在 学 术 界 进行 了 广泛 研究 ,形成 了 多 种 技术 路 线 。 早 期 技术 中 
有 的 利用 路 由 器 调试 接口 的 输入 调试 (input debugging) 追 踪 溯 源 技术 ,该 技术 沿 攻 击 数 
据 流 路 径 反 加 调试 查询 其 来 源 , 需 要 人 工 操 作 , 效 率 较 低 。 后 来 陆续 出 现 了 以 下 几 种 
技术 : 

(1) 基于 ICMP 的 追踪 技术 , 即 Itrace 技术 。 路 由 需 节 点 单独 发 送 包 含 网 络 流 路 径 
信息 的 ICMP 数据 包 ; 追 踪 者 收集 ICMP 包含 路 径 信息 的 数据 , 重 构 攻 击 流 路 径 以 实现 
追踪 。 

(2) 概率 包 标 记 法 (PPM)。 追 中 者 收集 市 标记 的 数据 包 ,PPM 算法 重 构 攻击 路 径 。 

(3) 确定 包 标 记 技 术 (DPM) 。 标 识 进 入 网 络 的 每 一 个 数据 包 。 
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(4) 基于 日 志 的 源 路 径 隔离 引擎 (SPIE) 。 可 以 对 单个 数据 包 进 行 追踪 。 
第 一 层 追 踩 淹 源 技术 的 比较 如 表 5-2 所 示 。 
表 5-2 第 一 层 追踪 溯源 技术 的 比较 
追踪 方法 | 单 包 追 踪 | 与 现 有 网 络 兼容 性 | ”预先 获取 追踪 数据 包 | 额外 的 通信 机 制 保障 


PPM 不 能 不 需要 不 需要 


目前 ,第 一 层 追 踩 溯 源 技术 取得 了 丰硕 的 全 究 成 采 ,都 是 由 包 标 记 、 日 志 类 等 基本 拉 
术 方 法 演变 而 来 的 ,在 追踪 溯源 效率 上 得 到 了 极 大 的 提升 ,并 回 实 际 应 用 系统 上 发展。 然 
而 ,需要 指出 的 是 ,每 一 种 追踪 渊源 扩 术 都 有 其 目 身 的 蚤 点 和 适用 性 ,需要 根据 追踪 溯源 
的 具体 需求 以 及 应 用 环境 选 择 适宜 的 追 踩 溯源 技术 。 


2. 第 二 层 : 追踪 溯源 攻击 控制 主机 

第 二 层 妃 踩 漳 源 的 目的 是 确定 攻击 控制 主机 。 在 网 络 中 的 计算 机 上 发 生 的 事件 总 是 
因为 东 种 原因 或 事件 导致 的 ,例如 ,一 合计 算 机 上 的 事件 (请 求 服 务 ) 可 能 导致 态 一 台 计 算 
机 上 的 事件 (提供 服务 ) 发 生 , 所 以 可 以 将 该 层次 退 踩 渊源 杭 型 用 一 种 因 采 关系 进行 抽象 。 
给 定 计 算 机 P1 上 的 事件 1, 第 二 层 追 踩 渊源 的 目标 就 是 寻找 东 个 与 之 有 因 采 关系 的 事 
件 , 它 导致 了 计算 机 P1 上 事件 1 的 发 生 。 一 般 来 说 ,这 种 因 采 关系 是 近东 种 顺序 组 合 的 
一 系列 计算 机 链 路 。 实 际 上 ,这 种 因 采 关系 就 是 一 种 控制 天 系 , 这 种 控制 关系 可 以 是 多 对 
多 的 ,也 可 以 是 一 对 多 的 ,甚至 是 多 对 一 的 。 


图 5-2 ”第 二 层 追 踪 潮 源 问题 描述 


在 上 述 模型 中 ,计算 机 被 抽象 成 方 框 ,事件 用 市 圆圈 的 数字 表示 ,事件 的 因果 关系 用 
市 篆 头 的 连 线 表示 。 例 如 ,在 图 5-2 中 ,攻击 者 在 计算 机 Pl 处 触发 事件 由 入 侵 计 算 机 
P2 ,并 利用 P2 的 事件 入 侵 P3, 在 P3 中 触发 事件 久 (例如 DDoS 代理 )。 而 攻击 者 可 以 
通过 计算 机 P4 的 事件 风向 P3 发 起 一 个 激励 或 命令 ,联合 P2 或 直接 局 动 事件 地 ,导致 事 
件 外 的 发 生 。 需 要 说 明 的 是 ,上 述 事件 并 不 需要 同时 发 生 。 在 事件 名 发 生 时 ,或 许 事件 
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由 .已 . 芭 由 已 经 完成 并 俘 止 活动 。 奶 踩 痢 最 初 只 看 到 事件 包 的 发 生 及 其 导致 的 绪 末 。 
第 二 层 追 踩 渊源 的 目标 正 是 通过 事件 包 的 发 生 找到 其 最 初 的 诱因 , 即 事件 山 。 

通 第 ,攻击 者 可 以 用 多 种 方式 控制 网 络 中 的 主机 。 攻 击 者 对 主机 的 控制 方式 根据 其 
对 该 主机 的 控制 程度 来 确定 ,如 图 5-3 所 示 。 一 般 来 说 ,攻击 者 控制 程度 越 高 ,反问 追 足 
攻击 者 的 难度 越 蜗 。 攻 击 者 控制 主机 的 方式 划分 为 以 下 5 种 : 


反射 控制 。 ”跳板 控制 。 ”站 倒 准 。 和 伪 户 控制 。 物理 控制 
: 。 跳板 控制 | 


控制 程度 | \ 高 


登录 受 控 


无 访问 权限 主机 权限 ”用 户 权 限 ” 管理 员 权 限 ” ”完全 控制 
图 5-3 按 主机 被 控制 程度 划分 的 控制 方式 


(1) 反射 控制 。 在 实施 反射 控制 时 ,攻击 者 需要 通过 网 络 与 该 主机 进行 通信 。 在 这 
种 控制 方式 下 ,攻击 者 对 主机 没有 访问 权限 ,没有 入 侵 主 机 ,也 不 需要 登录 系统 ,但 需要 获 
知 该 主机 运行 的 程序 或 服务 。 

(2) 跳板 控制 。 攻 击 者 利用 现 有 标准 的 、 运 行 良 好 的 程序 实时 地 与 受 控 主机 通信 , 完 
成 控制 命令 等 信息 的 收发 。 在 这 种 控制 方式 下 ,攻击 肴 拥有 登录 受 欣 主 机 的 权限 。 

(3) 非 标 准 跳板 控制 。 攻 击 者 入 侵 受 控 主 机 时 安装 非 标 准 的 控制 程序 ,以 非 正 常 的 
通信 方式 或 协议 控制 受 控 主 机 。 在 这 种 控制 方式 下 ,攻击 者 在 人 侵 的 主机 系统 上 安装 程 
序 并 运行 ,至 少 需要 获得 该 主机 的 用 户 权 限 。 

(4) 僵尸 控制 。 在 绝 大 多 数 计算 机 中 ,管理 员 的 权限 远 远 大 于 用 户 权 限 。 当 攻击 者 
在 人 侵 的 主机 系统 中 获得 管理 员 权 限 , 可 以 安装 任意 的 程序 或 服务 时 , 受 控 主机 束 成 为 从 
尸 机 。 

(5) 物理 控制 。 指 主机 的 物理 实体 完全 在 攻击 者 的 控制 之 下 ,攻击 者 能 根据 情况 删 
减 或 增加 主机 的 硬件 或 软件 系统 等 。 

作为 妃 踪 者 ,要 实现 第 二 层 追 踩 漳 源 目 标 ,最 基本 的 思路 就 是 治 着 事件 因果 链 一 级 一 
级 地 逆 癌 追踪, 最 终 找到 真正 的 攻击 源 主机 。 一 些 技术 方法 一 次 能 够 完成 多 级 追踪 ,但 是 
目前 还 没有 能 够 直接 追踪 溯源 到 真正 的 (最 初 的 ) 攻 击 源 的 技术 。 第 二 层 追 踩 溯源 技术 需 
要 重点 描述 如 何 反 向 追踪 到 上 一 级 主机 ,主要 技术 有 以 下 几 种 : 

(1) 内 部 监测 。 实 时 监测 主机 行为 。 

(2) 日 志 分 析 。 分 析 主 机 内 有 效 的 系统 日 志 信息 。 

(3) 快照 技术 。 实 时 捕获 主机 当前 系统 的 所 有 状态 信息 。 

(4) 网 络 数据 流 分 析 。 对 进出 主机 的 网 络 数据 流 进 行 相 关 分 析 ,实现 攻击 数据 流 及 
其 上 一 级 市 点 的 识别 。 

(5) 事件 啊 应 分 析 。 追 踪 者 对 网 络 事件 施加 干预 ,以 观测 该 事件 在 网 络 中 的 行为 变 
化 ,对 网 络 行为 发 生变 化 的 信息 进行 分 析 ,可 确认 事件 的 因果 关系 ,实现 追 嘴 。 

第 二 层 追 踪 溯 源 技术 的 比较 如 表 5-3 所 示 。 


91 


表 5-3 第 二 层 追 踪 溯 源 技术 的 比较 


追踪 技术 跳板 控制 非 标准 跳板 控制 从 户 控 抽 物理 控制 
内 部 监测 | 有效 无 效 无 效 
网 络 数据 流 分 析 无 效 无 效 


反射 控制 的 人 妃 踩 调 源 可 使 用 第 一 层 退 踩 调 源 技 术 较 方便 地 实现 ,在 此 不 作 进一步 分 
析 比 较 。 内 部 监测 技术 能 够 分 析 主 机 行为 的 产生 ,进而 实现 其 控制 源 的 追踪 ,但 是 无 法 应 
对 延迟 攻击 的 情况 。 日 志 分 析 技 术 是 第 二 层 追 踩 漳 源 最 有 歼 的 方式 ,但 需要 确保 日 志 属 
据 的 正确 性 和 权威 性 。 快 照 扩 术 与 内 部 监测 技术 原理 相同 ,实时 性 、 准 确 性 更 高 ,但 其 成 
本 也 更 高 。 网 络 数 据 流 分 析 技 术 能 够 基于 时 间 、 内 容 的 相关 性 对 网 络 数 据 流 进行 分 析 , 确 
定 进 出 主机 的 数据 流 关系 , 奶 躁 其 上 一 级 主机 ,但 它 对 高 匿名 拉 术 攻击 流 的 相关 分 析 极 其 
困难 。 事 件 啊 应 分 析 技 术 由 于 网 络 行 为 啊 应 结 来 存在 延 后 性 和 二 义 性 ,因此 实时 性 及 正 
确 性 较 差 ,分析 过 程 复 杂 ,不 适用 于 大 多 数 情 况 。 


3. 第 三 层 : 追踪 溯源 攻击 者 

第 三 层 妃 踩 溯源 的 目的 是 追踪 定位 网 络 攻击 者 ,这 承 要 求 追 踩 者 必须 找到 网 络 主机 
ee de dn 第 三 层 追 踪 漳 源 就 是 通过 对 网 络 空间 和 物理 世界 的 

县 数据 分 析 ,将 网 络 空间 中 的 事件 与 物理 世界 中 的 事件 相关 联 , 并 以 此 确定 物理 世界 中 
对 事件 负责 的 责任 人 过 程 , 如 图 5-4 所 示 。 


证 | 行为 | | xl。 了 
0 坏 程序 智能 分 析 J 


第 三 层 追踪 湖 源 
图 5-4 第 三 层 追 踪 溯源 问题 描述 
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第 三 层 追 踪 溯 源 包含 4 个 环节 : 中 网 络 空间 的 事件 信息 确认 ; 四 物理 世界 的 事件 信 
息 确认 ; 加 网 络 事件 与 物理 事件 的 关联 分 析 ; 由 物理 事件 与 自然 事件 的 因果 确认 。 第 一 
层 和 第 二 层 追 踪 溯源 技术 能 较 好 地 解决 第 一 个 环节 的 问题 。 第 二 个 环节 需要 利用 物理 世 
界 中 的 情报 、 侦 察 取 证 等 手段 确定 。 第 三 个 环节 是 通过 网 络 中 的 信息 与 物理 世界 中 取证 
的 各 种 情报 进行 综合 分 析 ,确认 网 络 事件 与 物理 事件 的 因果 关联 ,并 在 第 二 层 追 踪 渊 源 定 
位 攻击 源 主 机 的 基础 上 ,通过 获取 该 主机 的 攻击 行为 攻击 模 式 、 语 言 . 文 件 等 信息 ,支持 
物理 世界 中 的 事件 确认 。 第 四 个 环节 是 采取 司法 取证 等 手段 ,对 物理 世界 中 的 可 疑 人 员 
进行 调查 分 析 ,最 终 确 定 事件 责任 人 。 

从 上 述 第 三 层 追 踪 溯源 的 问题 描述 中 可 以 看 到 ,完成 第 三 层 追 踪 溯 源 目 标的 核心 仍 
然 是 信息 收集 与 分 析 , 但 不 是 所 有 的 网 络 信息 都 可 用 于 第 三 层 追 踪 溯 源 中 ,需要 在 网 络 空 
间 有 针对 性 地 收集 信息 。 这 些 信 息 主 要 包括 以 下 几 种 : 

(1) 自然 语言 文档 。 对 攻击 源 主机 中 的 文档 进行 收集 ( 需 确认 能 否 通过 网 络 进入 攻 
击 源 主机 ,或 者 采取 司法 手段 ) ,通过 对 文档 内 容 的 分 析 ,确认 攻击 者 的 身份 等 。 

(2) 电子 邮件 和 聊天 记录 。 收 集 其 电子 邮件 和 聊天 记录 等 ,分 析 其 爱好 .朋友 轿 、 习 
惯 甚至 信仰 等 信息 。 

(3) 攻击 代码 。 捕 获 网 络 攻击 代码 ,进行 着 向 分 析 , 以 及 确认 攻击 者 的 编程 习惯 . 语 
言 、. 工 具 等 信息 。 

(4) 键盘 信息 。 记 录 攻 击 源 主 机 的 键盘 使 用 信息 ,确认 攻击 者 进行 网 络 攻击 时 的 控 
制 方式 .习惯 右手 还 是 左手 、 键 盘 操 作 模 式 等 信息 。 

(5) 攻击 模型 。 比 较 流 行 的 攻击 模型 是 树 状 结构 ,攻击 者 通过 这 样 的 树 状 结 构 控 
制 大 量 主机 ( 树 的 分 支 节 点 和 叶 节 点 ) 攻 击 受 害 者 ( 树 的 根 节点 )。 通 过 对 网 络 攻击 模 
型 的 重 构 和 分 析 , 可 以 分 析 攻 击 者 如 何 调动 各 种 资源 实施 攻击 以 及 攻击 路 径 、 过 程控 
制 等 信息 。 

确保 情报 信息 的 准确 性 和 可 靠 性 是 第 三 层 追 踪 漳 源 的 核心 。 追 踪 者 需要 对 上 述 
信息 进行 综合 分 析 ,辨别 信息 的 准确 性 ,对 攻击 者 及 其 攻击 行为 作出 完整 而 准确 的 
描述 。 


4. 第 四 层 : 退 中 溯源 攻击 组 织 机 构 

第 四 层 追 踪 漳 源 的 目的 是 确定 攻击 的 组 织 机 构 , 即 实施 网 络 攻击 的 幕后 组 织 机 构 ， 
该 层次 的 追踪 溯源 问题 就 是 在 确定 攻击 者 的 基础 上 ,依据 相关 组 织 机 构 信 息 、 外 交 形 势 、 
政策 、 战 略 以 及 攻击 者 里 份 信息 、 工 作 单位 、 社 会 地 位 、 人 际 关 系 等 多 种 情报 分 析 评 估 , 确 
认 攻 击 者 与 特定 组 织 机 构 的 关系 ,如 图 5-5 所 示 。 

第 四 层 追 踪 漳 源 更 多 的 是 国家 与 国家 组织 机 构 与 组 织 机 构 之 间 的 对 抗 ,是 网 络 攻 防 
的 一 种 高 级 形式 。 第 四 层 追 躁 济 源 是 一 个 十 分 复 洒 的 系统 工程 ,但 仍 以 第 一 层 、 第 二 层 和 
第 三 层 追 踩 渊源 为 基础 ,在 前 3 个 层次 的 追 踊 滴 源 基础 上 ,结合 谍报 、 外 交 、 第 三 方 情报 等 
所 有 信息 ,综合 分 析 评 估 ,确定 网 络 攻击 事件 的 幕后 组 织 机 构 。 
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组 织 机 构 


外 交 形 势 


政策 战略 

| 1 情报 侦察 身份 信息 
| ”工作 单位 
社会 地 位 


攻击 者 


录 诅 踪 渊 源 
时 四 层 租 味 训 广 机 构 3 


图 5-5 第 四 层 追 踪 滴 源 问 题 描述 


5.1.4 仍 踩 溯源 的 架构 及 流程 


1. 追踪 溯源 的 架构 

网 络 追 踪 溯源 就 是 通过 对 网 络 数据 的 收集 、 分 析 处理 ,还 原 数据 在 网 络 中 的 传输 路 
径 , 确 定 其 真正 源头 。 追 踪 溯 源 基 本 架构 包括 3 个 层次 , 即 数 
据 采 集 、 分 析 追 踪 和 追踪 控制 ,如 图 5-6 所 示 。 

数据 采集 是 网 络 追 踪 漳 源 的 基础 ,为 追踪 溯源 提供 数据 
支撑 ,是 直接 与 网 络 进行 交互 操作 的 层次 。 根 据 具体 需求 的 
不 同 ,数据 采集 层 会 涉及 链 路 层 、 网 络 层 以 及 应 用 层 等 网 络 层 分 析 姐 际 
次 上 的 数据 。 进 行 数 据 采 集 时 ,可 以 对 网 络 数 据 直接 采集 并 
记录 ,也 可 以 根据 具体 的 追踪 溯源 方法 对 网 络 数据 进行 标记 
操作 ,注入 必要 的 路 径 信息 ,为 后 续 的 分 析 追 踪 提 供 必 有 需 的 数 
据 。 在 数据 采集 这 个 层次 上 ,还 需要 根据 应 用 网 络 的 环境 和 图 5-6 追踪 溯源 基本 架构 
具体 的 追踪 需求 选择 合适 的 数据 采集 方式 ,尽量 减 小 对 信息 
系统 造成 的 影响 。 

分 析 追 踪 是 网 络 追 踪 溯源 的 核心 ,与 网 络 追 踪 溯 源 相 关 的 分 析 操 作 都 在 这 个 层次 上 
完成 。 根 据 具体 应 用 的 追踪 溯源 方法 ,分 析 追 踪 包 括 路 径 重 构 、 基 于 数据 日 志 的 查询 、 链 
路 分 析 等 相关 工作 ,判断 真正 的 数据 传输 路 径 。 分 析 追 踪 对 通过 数据 采集 获得 的 数据 进 
行 处 理 , 可 以 实现 网 络 攻击 数据 传输 路 径 的 追踪 。 

追踪 控制 是 网 络 追 踪 淹 源 的 控制 中 心 ,可 以 对 数据 采集 和 分 析 追 踪 的 策略 进行 调整 ， 
以 更 加 有 效 的 方式 实现 追踪 渊源。 追踪 控制 包括 两 个 方面 的 内 容 : 

(1) 追踪 的 迭代 控制 。 一 般 追 踪 淹 源 是 沿 着 网 络 攻击 路 径 逆向 逐 节点 追踪 的 ,在 每 
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个 追踪 节点 都 需要 判定 其 是 否 为 最 终 真 正 的 攻击 源 节 点 ,其 上 一 级 节点 是 哪个 。 帮 确定 
当前 节点 为 最 终 攻 击 源 节 点 , 则 完成 妃 踩 过程 ; 知 不 能 确定 , 则 在 确定 其 上 一 级 节点 后 开 
局 下 一 个 追踪 和 迭代 过 程 。 

(2) 路 网 域 的 协同 追踪 控制 。 网 络 攻 击 的 范围 越 来 越 大 ,需要 在 多 个 网 域 间 进 行 协 
同 追 踪 , 因 此 追踪 控制 需要 负 员 各 网 域 追 踪 的 协调 控制 以 及 追踪 信息 的 交互 ,最 终 实现 跨 
网 域 攻击 路 径 的 追踪 

2. 但 中 溯源 的 流程 

5.1.3 节 将 追踪 济源 分 为 4 个 层次 , 即 追 踊 湖 源 攻 击 主 机 、 追 踊 湖 源 攻 击 控 制 主机 、 追 
踩 测 源 攻击 者 以 及 追踪 溯源 攻击 组 织 机 构 。 为 统一 追踪 溯源 的 整体 过 程 轮廓 ,这 里 给 出 
网 络 追 中 济源 的 流程 ,如 图 5-7 所 示 。 


网 络 预 党 


局 动 奶 踩 浏 产 / 


攻击 主机 奶 踪 溯源 


捉 一 层 姐 中 溯源 结 来 


第 二 层 姐 踪 调 产 结 条 


语言 ~ XX 于 、 行为 
等 分 析 识 别 


攻击 痢 姐 巡 滑 着 第 三 层 姐 踪 溯 源 结果 


综合 分 析 网 络 
空间 外 的 情报 信息 


攻击 组 织 机 构 姐 味 洲 着 囊 四 层 姐 味 六 源 结 末 


追踪 湖 源 过 程 结束 
图 5-7 追踪 溯源 流程 
追踪 湖 源 的 具体 流程 如 下 ， 网 络 预警 系统 发 现 攻击 行为 ,请 求 追 踪 , 对 攻击 数据 流 进 


行 退 踩 定 位 ,分析 确 定 发 送 攻击 数据 的 网 络 设备 或 主机 ,完成 第 一 层 追 踪 调 源 。 确 定 攻 击 
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主机 后 ,通过 分 析 该 主机 的 输入 输出 信息 或 系统 日 志 等 信息 ,判定 该 设备 是 否 被 第 三 方 控 
制 ,从 而 导致 攻 击 数据 的 产生 , 据 此 确定 攻击 控制 链 路 中 的 上 一 级 控制 节点 ,如 此 逐 级 和 
代 追 踪 , 完 成 第 二 层 追 踪 溯源 。 在 第 二 层 追 踪 湖 源 的 基础 上 ,结合 语言 文字、 行为 等 分 析 
识别 攻击 者 ,完成 第 三 层 追踪 溯源 。 在 第 三 层 追踪 溯源 基础 上 ,结合 网 络 空间 之 外 的 情报 
信息 ,判定 攻击 者 的 组 织 机 构 等 信息 ， 完 成 第 四 层 追 踪 溯源 . 


5.1.5 人 退路 溯源 拉 术 评 信 指标 


在 具体 的 追踪 调 源 扩 术 人 研究 中 ,一般 从 复杂 性 、. 时 效 性 .事后 追踪 溯源 能 力 等 方面 评 
价 追 踩 漳 源 技 术 的 优先 。 本 节 给 出 评估 追踪 溯源 技术 的 9 个 指标 。 


1. 最 小 数据 量 
最 小 数据 量 是 指 完 成 网 络 攻击 人 奶 踩 溯源 或 攻击 路 径 重 构 所 需 的 最 低 数 据 量 。 此 效 据 
量 与 采用 的 追踪 溯源 方法 、 网 络 结构 ,攻击 模式 等 有 关 。 理 论 上 ,最 小 数据 量 越 小 越 好 。 


2. 计算 复杂 度 

计算 复杂 度 是 指 完 成 追踪 溯源 或 攻击 路 径 重 构 所 需要 的 计算 量 。 对 特定 追踪 方案 来 
说 ,其 计算 复 末 上 度 越 小 越 好 ,但 是 计算 复 琳 度 与 攻击 路 径 重 构 算 法 、 网 络 负 载 等 许多 方面 
有 关 。 在 变 计 实 现时 ,需要 在 网 络 负载 .追踪 时 效 性 等 多 个 方面 进行 折 中 考 鳄 。 


3. 适用 性 

适用 性 是 指 网 络 攻击 追踪 湖 源 技术 的 网 络 适应 性 、 可 部 署 性 以 及 可 拓展 性 。 它 是 衡 
量 追 踪 溯源 技术 的 可 实现 性 的 一 个 重要 指标 。 网 络 适应 性 也 可 以 称 为 兼容 性 , 它 是 指 该 
技术 是 否 与 现 有 网 络 协议 和 架构 兼容 ,是 否 能 直接 应 用 在 当前 网 络 中 。 可 部 署 性 是 指 该 
技术 是 否 能 够 在 当前 网 络 系统 中 部 署 应 用 ,理想 的 方式 是 以 较 低 的 成 本 对 计算 机 网 络 进 
行 渐进 的 部 署 。 部 署 追 踪 溯源 技术 的 成 本 如 果 高 于 网 络 攻击 带 来 的 损失 ,从 经 济 的 角度 
来 看 ,其 实用 性 就 很 差 了 。 可 拓展 性 是 指 追 踪 湖 源 技 术 是 否 能 够 方便 地 支持 各 种 新 的 通 
信 协 议 及 网 络 技术 ,例如 IPv6 .移动 网 络 等 。 

4. 时 效 性 

时 效 性 用 于 评估 追踪 淹 源 技术 的 效率 。 将 启动 追踪 到 确定 攻击 源 的 时 间 定 义 为 追踪 
时 间 , 它 是 时 效 性 的 具体 量化 指标 。 显 然 ,追踪 时 间 越 短 越 好 。 追 踪 时 间 越 短 , 就 能 够 越 
快 地 确定 攻击 源头 ,从 而 能 够 为 安全 系统 应 急 响应 提供 更 多 的 防护 准备 时 间 , 更 能 有 效 过 
制 攻击 的 进一步 发 展 。 

网 络 攻击 可 大 致 分 为 两 个 阶段 , 即 传播 阶段 和 攻击 破坏 阶段 。 设 传播 阶段 所 需 的 
时 间 为 Ti ,攻击 破坏 阶段 所 需 的 时 间 为 Ts ,Ti 二 Ts* 是 整个 网 络 攻击 的 持续 时 间 。 
此 ,如 果 追 踪 时 间 过 T, 十 T,, 则 说 明 该 追踪 湖 源 技 术 是 实时 的 。 事 实 上 ,追踪 时 间 工 
包含 了 网 络 预警 所 需要 的 时 间 ,因此 网 络 追踪 湖 源 系统 的 实时 性 还 受到 网 络 预警 系统 
的 影响 ， 

5. 事后 追踪 溯源 能 力 

事后 追踪 湖 源 能 力 是 指 网 络 攻击 结束 后 实施 追踪 湖 源 的 能 力 。 如 图 5-8 所 示 , 设 追 
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Ep 所 为 To, 当 了 T 位 于 天 十 T 区 域 的 右 侧 时 ,表明 该 追 踩 渊源 为 事后 追 


贡 


图 5-8 事后 追踪 潮 源 


具备 事后 追踪 调 源 能 力 的 系统 首先 需要 解决 的 是 网 络 数 据 的 存储 问题 ,只 有 将 网 络 
攻击 实施 阶段 的 数据 存储 起 来 ,才能 实现 事后 追踪 渊源。 并 不 是 所 有 的 技术 都 能 进行 事 
后 追踪 溯源 ,例如 输入 调试 技术 等 。 


6. 鲁 棒 性 

鲁 棒 性 包括 误 报 率 和 漏 报 率 两 个 方面 的 描述 。 误 报 率 指 本 身 不 是 攻击 源 或 攻击 路 径 
参与 节点 , 却 被 判定 为 攻击 源 或 攻击 路 径 参与 节点 的 概率 ; 漏 报 率 指 本 身 是 攻击 源 或 者 攻 
击 路 径 参与 节点 , 却 被 判定 为 正常 健康 节点 。 追 踪 漳 源 技术 应 尽量 使 这 两 个 指标 最 小 化 ， 
以 保证 系统 的 可 用 性 ， 

7. 网 络 资源 消耗 

网 络 资源 消耗 是 指 在 网 络 中 部 署 追 踪 漳 源 技术 后 对 网 络 资源 的 消耗 。 这 里 的 资源 主 
要 是 指 网 络 带宽 路 由 开销 。 例 如 ,基于 ICMP 的 ltrace 追踪 溯源 技术 ,由 于 会 额外 产生 
用 于 追踪 溯源 的 ICMP 数据 包 , 增 大 了 网 络 流量 ,占据 了 额外 的 网 络 带宽 。 只 有 对 现 有 网 
络 及 网 络 设备 影响 小 的 溯源 技术 才 有 可 能 得 到 广泛 的 应 用 。 


8. 目 身 安全 性 

日 身 安 全 性 是 指 追 踩 溯源 撤 术 上 月 身 的 抗 攻击 安全 性 。 对 攻击 痢 而 言 , 追 足 溯 源 应 具 
有 透明 性 ,同时 追踪 亢 源 技术 能 对 收集 到 的 数据 进行 认证 ,防止 攻击 者 对 追踪 渊源 所 需 数 
据 进 行 但 改 ， 


9. 追踪 DDoS 能 力 
追踪 DDoS 能 力 指 对 DDoS 攻击 的 追 中 定位 能 力 。 追 躁 者 需要 通过 追 中 济源 技术 对 
参与 DDoS 攻击 的 计算 机 甚至 攻击 发 起 者 本 号 ( 丰 正 的 攻击 源 ) 进 行 追 踊 定位 ,并 采取 隔 
离 ,反问 攻击 等 措施 降低 甚至 消除 DDoS 攻击 种 来 的 危害 。 由 于 DDoS 攻击 方式 的 特点 ， 
使 得 日 前 防御 此 类 攻击 变 得 更 加 困难 。 同 时 ,在 DDoS 攻击 中 设计 跳板 .僵尸 机 等 多 种 复 
杂 攻 击 控制 环节 。 因 此 对 DDoS 攻击 的 定位 能 力 是 衡量 追踪 济源 技术 的 一 个 重要 指标 。 
上 述 9 个 评估 指标 都 ptt ei eg 对 于 特定 的 
追踪 溯源 技术 或 方法 来 说 ,需要 在 各 个 评估 指标 中 找到 一 个 平衡 点 ,进行 综合 考虑 ,以 选 
择 满 足 实 际 需 求 的 技术 方法 。 
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目前 ,在 计算 机 网 络 犯 罪 手 段 与 网 络 攻击 技术 不 断 升 级 的 形势 下 ,只 徘 网 络 安 全 防御 
技术 打击 计算 机 犯罪 是 不 够 的 , 越 来 越 多 的 技术 人 员 和 法 律 专 家 意识 到 ,必须 同时 依 徘 法 
律 和 技术 结合 遏制 网 络 犯 菲 ,取证 技术 正定 在 这 种 形 努 下 产生 和 发 展 的 。 本 和 所 说 的 " 取 
证 ” 特 指 网 络 取证 , 它 属 于 一 种 主动 网 络 安全 防御 手段 ,也 是 妃 踩 渊源 的 重要 目的 之 一 。 


5.2.1 网 络 取证 概述 


1. 网 络 取 证 的 定义 

网 络 取 证 (network forensics) 的 概念 最 早 是 在 20 世纪 90 年 代 由 美国 计算 机 安全 专 
家 Marcus Ranum 提出 的 ,他 借用 了 法 律 和 犯罪 学 领域 中 用 来 表示 犯罪 调查 的 词汇 
forensics。 数 字 取 证 研究 工作 组 (Digital Forensics Research Workshop,;DFRWS) 在 200] 
年 的 会 议 上 明确 将 网 络 取证 作为 会 议 的 4 个 主题 之 一 进行 讨论 ,并 给 出 了 网 络 取 证 的 定 
义 :“ 为 了 揭示 与 阴谋 相关 的 事实 ,或 者 为 了 成 功 地 检测 出 那些 意 在 破坏 、 误 用 或 危及 系 
统 构成 的 未 授权 行为 ,使 用 科学 的 技术 ,对 来 和 目 各 种 活动 事件 和 传输 实体 的 数字 证 据 进行 
收集 .融合 .识别 .检查 .关联 、 分 析 和 归档 等 活动 过 程 。” 

日 前 国内 学 者 对 网 络 取 证 的 定义 主要 有 下 面 两 种 . 

(1) 网 络 取 证 是 指 对 涉及 民事 .刑事 和 管理 事件 而 进行 的 对 网 络 流量 的 全 究 ,目的 是 
保护 用 户 和 资源 ,防范 由 于 持续 月 胀 的 网 络 连接 而 产生 的 被 非法 利用 .人 侵 以 及 其 他 犯罪 
行为 。 

(2) 网 络 取 证 是 从 网 络 活动 中 收集 并 保存 网 络 活动 数据 ,在 适当 的 时 候 使 用 这 些 数 
据 来 证 明 网 络 人 侵 活 动 及 其 造成 的 损失 ,并 用 于 入 侵 啊 应 及 事故 。 

这 两 个 定义 都 揭示 了 网 络 取 证 的 外 部 表现 为 对 网 络 活动 数据 或 流量 的 研究 ,但 是 都 
存在 一 些 偏 央 。 前 痢 认为 网 络 取 证 的 目的 是 预防 网 络 违法 行为 ;后 者 则 强调 网 络 取 证 是 
事先 收集 并 保存 网 络 活动 数据 , 留 每 日 后 使 用 。 两 者 都 忽视 了 男 外 一 种 网 络 取 证 一 一 事 
后 取证 的 本 质 。 网 络 取 证 有 事后 取证 和 实时 取证 两 种 ,目前 更 多 的 是 事后 取证 ,其 目的 是 
尽 可 能 真实 地 反映 过 去 发 生 的 网 络 事件 的 实际 情况。 这 些 定 义 过 多 地 强调 网 络 的 实时 取 
证 ,与 网 络 监 控 混 洒 在 一 起 。 事 后 取证 ,也 称 议 态 取 证 ,是 指 计算 机 在 已 遭受 入 侵 的 情况 
下 ,运用 各 种 技术 手段 对 其 进行 分 析 取 证 工作 。 实 时 取证 ,也 称 动态 取证 ,是 指 利 用 相关 
的 网 络 安全 工具 实时 获取 网 络 数据 ,并 以 此 分 析 攻 击 者 的 企图 和 获得 攻击 者 的 行为 证 据 。 

因此 ,本 书 对 网 络 取证 给 出 以 下 定义 : 网 络 取 证 是 对 网 络 数据 资源 的 监控 ,提取 和 分 
析 , 用 于 证 明 各 种 网 络 违法 行为 及 其 造成 的 损失 ， 

2. 网 络 取 证 的 特点 

与 网 络 取 证 相关 的 概念 还 包括 数字 取证 (digital forensics) ,计算机 取证 (computer 
forensics) 等 。 数 字 取 证 是 一 个 上 位 概念 ,是 对 数字 资源 的 提取 、 存 储 、 分 析 和 利用 。 而 网 
络 取 证 不 仅仅 局 限于 计算 机 系统 ,还 包括 网 络 效 据 包 的 取证 ,是 广义 的 计算 机 取证 。 区 别 
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于 计算 机 取证 ,网 络 取证 主要 是 通过 对 网 络 数据 流 审 计 、 主 机 系统 日 志 等 的 实时 监控 和 分 
析 发 现 对 网 络 系统 的 人 侵 行 为 ,上 月 动 记录 犯罪 证 据 ,并 阻止 对 网 络 系统 的 进一步 和 人 侵 。 网 
络 取 证 也 要 求 对 潜在 的 有 法 律 效力 的 证 据 进行 确定 与 获取 ,但 从 当前 的 研究 和 应 用 来 看 ， 
网 络 取 证 更 强调 对 网 络 的 动态 信息 收集 和 网 络 安全 的 主动 防御 。 同 时 ,网 络 取 证 也 要 应 
用 计算 机 取证 的 一 些 方法 和 技术 。 

作为 法 律 上 的 直接 证 据 , 网 络 证 据 具 备 真 实 性 、 完 整 性 .证 明 性 和 合法 性 等 特性 。 另 
外 ,网 络 证 据 还 有 以 下 特性 : 

(1) 动态 性 。 网 络 上 的 电子 证 据 ( 如 数据 包 ) 具 有 实时 性 和 连续 性 。 因 此 网 络 取 证 必 
须 是 动态 的 ,通常 一 个 基本 的 网 络 取证 系统 由 数据 采集 .人 侵 检测 ` 数 据 仓 库 .数据 分 析 、 
证 据 鉴定 .证据 保全 证据 提 交 等 各 个 子 模块 动态 构成 。 

(2) 实时 性 。 网 络 上 传输 的 每 一 个 数据 包 的 传输 过 程 有 时 间 限 制 ,从 源 地 址 通过 传 
输 介 质 到 达 目 的 地 址 之 后 就 不 再 属于 网 络 流 。 网 络 流 是 流动 的 , 随 关 时间 的 推移 而 消失 ， 
具有 实时 性 。 

(3) 多 态 性 。 了 网络 上 传输 的 网 络 流 有 文本 、 视 频 和 音频 等 形式 ,因此 网 络 证 据 的 表现 
形式 具有 多 态 性 。 同 时 ,网 络 取 证 有 时 需要 部 署 多 个 取证 点 或 取证 代理 ,这 些 取 证 点 可 能 
是 网 关 、 路 由 器 或 防火 墙 等 ,网 络 取 证 的 部 署 也 具有 多 态 性 。 


3. 网 络 取证 的 分 类 

网 络 取 证 需要 大 量 技术 支持 。 由 于 网 络 上 交换 的 信息 涉及 大 量 数 据 , 如 需 从 网 络 上 
交换 的 数据 中 分 析出 犯罪 证 据 ,需要 高 技术 含量 的 网 络 技术 文 持 。 

网 络 取 证 可 按照 不 同 的 方式 划分 为 不 同 的 类 型 ,常见 的 分 类 方式 如 下 。 

1) 按照 采集 方式 分 类 

网 络 取 证 的 信息 采集 方式 不 同 , 但 通常 情况 下 可 以 归 为 两 大 类 ,分别 是 主动 的 信息 采 
集 方 式 和 被 动 的 信息 采集 方式 。 主 动 的 信息 采集 方式 是 在 获得 一 定 的 活动 方向 下 进行 主 
动 的 调查 和 取证 ,从 而 获得 一 定 的 证 据 , 这 样 的 取证 方式 比较 有 利于 证 据 的 提取 。 被 动 的 
信息 采集 方式 则 是 被 动 地 对 网 络 进行 动态 监测 ,从 众多 信息 数据 中 分 析出 可 能 存在 的 犯 
罪证 据 ,这 样 的 取证 方式 获得 的 证 据 比 较 有 限 。 

2) 按照 取证 时 延性 分 类 

网 络 取 证 按照 时 延性 可 以 分 为 实时 取证 和 事后 取证 两 种 类 型 。 实 时 取证 对 设备 性 能 
的 要 求 较 高 ,可 以 快速 截取 所 需 证 据 信 息 ,但 信息 截取 不 够 全 面 。 事 后 取证 是 对 网 络 上 的 
犯罪 证 据 数据 进行 保存 ,在 截取 完整 信息 后 ,再 进行 细致 的 分 析 , 这 样 的 取证 可 以 保证 证 
据 的 全 面 性 。 在 进行 事后 取证 时 ,一定 要 保证 有 足够 的 存储 空间 来 进行 信息 的 保存 。 

3) 按照 不 同 的 目的 分 类 

网 络 取 证 可 能 有 多 种 目的 ,但 一 般 情 况 下 可 以 分 为 3 种 : 

(1) 面向 网 络 安全 管理 的 取证 。 这 样 的 网 络 取证 可 以 监测 到 网 络 安全 问题 ,然后 对 
可 能 发 生 的 网 络 安全 隐患 进行 及 时 的 处 理 , 从 而 能 够 保证 网 络 安全 。 

(2) 面向 网 络 管理 的 取证 。 这 样 的 取证 可 以 对 网 络 上 的 一 些 不 良 信 息 进 行 信 息 源 的 
调查 ,然后 通知 相应 的 管理 部 门 进行 管理 ,还 可 以 保留 一 些 不 良 信息 证 据 , 为 以 后 的 调查 
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提供 条 件 。 
(3) 面 问 网络 犯罪 的 取证 。 这 样 的 取证 往往 需要 一 是 的 技术 配合 ,从 网 络 方面 人 手 
查证 一 些 重要 的 犯罪 证 据 。 


5.2.2 网 络 取证 程序 


网 络 取证 程序 是 指 为 了 保证 取得 证 据 的 合法 性 所 必须 遵循 的 原则 .过 程 和 步骤 , 它 是 
证 据 法 律 效 力 的 保障 。 按 照 诉讼 非法 证 据 排 除 规则 ,凡是 不 从 合法 律 规定 的 证 据 均 为 非 
法 证 据 , 不 能 作为 认定 案件 事实 的 依据 。 我 国 现行 《刑事 诉讼 法 》 对 取证 主体 、 取 证 的 方法 
和 手段 证 据 的 形式 等 方面 作 了 明确 规定 , 几 符 合法 律 规 定 得 到 的 证 据 就 具有 合法 性 , 否 
则 就 为 非法 证 据 。 最 蜗 人 民法 院 《 关 于 民事 诉讼 证 据 的 厂 十 规定) 第 六 十 八条 规定 :“ 以 
侵害 他 人 合法 权益 或 者 违反 法 律 蔡 止 性 规定 的 方法 取得 的 证 据 , 不 能 作为 认定 双 件 事实 
的 依据 。” 

网 络 取证 所 获得 的 电子 证 据 , 作 为 一 种 新 的 让 据 种 类 ,其 性 质 目前 还 存在 很 大 的 争 
议 , 在 证 据 的 合法 性 要 求 上 目 然 会 更 局 ,这 了 就 需要 制订 一 个 具有 普通 性 和 法 律 效 力 的 网 络 
取证 程序 。 因 此 ,网 络 取证 程序 的 核心 在 于 如 何 让 网 络 取证 技术 在 网 络 取 证 的 法 律 程序 
下 确保 内 容 的 真实 性 ,也 就 是 既 能 够 确保 取证 内 容 的 真实 性 ,又 能 够 保 隐 程 序 的 公正 性 。 

建立 一 僚 公 正 的 网 络 取证 程序 ,首先 必须 明确 网 络 取证 所 章 循 的 原则 。 网 络 取证 原 
则 对 取证 的 全 过 程 都 会 起 到 指导 作用 。 目 前 数字 取证 的 原则 在 学 术 界 已 经 存在 广泛 的 研 
究 , 可 以 在 数字 取证 原则 的 基础 上 和 针对 网 络 取证 的 特点 提炼 出 网 络 取 证 的 原则 ， 

其 次 ,应 使 网 络 取证 的 过 程 模型 化 。 学 术 界 已 经 根据 网 络 安全 的 需求 提出 了 网 络 取 
证 的 各 种 模型 ,如 事件 啊 应 方法 、 基 本 过 程 模型 .取证 抽象 过 程 模 型 .集成 的 数字 调查 过 程 
模型 和 问 对 端的 数字 调查 过 程 模型 等 。 将 网 络 取证 的 过 程 模型 化 ,能 够 让 取证 结果 具备 
较 高 的 置信 和 度 。 

最 后 ,应 使 网 络 取 证 程序 操作 具体 化 ,归结 出 网 络 取证 的 步骤 。 网 络 取证 的 步骤 应 具 
体 地 指出 如 何 展 开 调 碍 ,一 般 包 括 取 证 前 的 准备 、 查 找 证 据 ,提取 证据、 对 提取 的 证 据 进 行 
归档 、 利 用 科学 的 方法 进行 证 据 固 定 保全 审查 分 析 证 据 、 给 出 最 后 分 析 结 果 等 。 


1. 网 络 取 证 的 原则 

网 络 取证 原则 是 整个 网 络 取证 过 程 所 必须 遵循 的 指导 性 准则 ,是 对 网 络 取 证 工作 的 
标准 要 求 。 目 前 国内 外 学 者 对 数字 取证 都 提出 了 必须 巡 循 的 原则 ,这 些 原 则 锌 用 来 指导 

由 俄 , 才 相关 人 研究 人 员 组 成 的 G8 小 组 提出 了 数字 取证 操作 过 程 的 6 条 原则 :中 必须 
应 用 标准 的 取证 过 程 ; 包 捕 获 数 字 证 据 后 ,任何 举措 都 不 得 改变 证 据 ; 接触 原始 证 据 
的 人 员 应 该 得 到 相关 培训 ; 由 任何 对 数字 证 据 进行 捕获 ,访问 、 存 储 或 转移 的 活动 发 有 有 完 
整 的 记录 ; 任何 个 人 右 拥 有 数字 证 据 , 那 么 他 必须 对 其 在 该 证 据 上 的 任何 操作 活动 负 
页 ; (任何 人 负 贡 捕获 ,访问 \、 和 存储 或 转移 数字 证 据 的 机 构 必 须 旭 从 上 述 原 则 。 

国内 学 者 提出 的 数 和子 取 证 原则 如 下 :由 必须 保证 证 据 没 有 受到 任何 破坏 ; 外 必须 保 
证 证 据 连 续 性 ; (3 整个 检查 、 取 证 过 程 必 须 受 到 监督 ; 由 取证 必须 及 时 ; 包 取 证 过 程 必 须 
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合法 ; @ 对 于 含有 电子 证 据 的 媒体 至 少 应 制 成 两 个 副本 ; 四 取证 环境 必须 安全 ; 名 严格 

内 外 学 者 所 提出 的 数字 取证 原则 其 实 大 多 是 数字 取证 过 程 中 的 具体 规则 要 求 , 并 
不 是 对 数字 取证 的 价值 准则 的 提炼 。 网 络 取证 的 原则 必须 能 够 适应 未 来 网 络 技术 的 发 
展 , 在 取证 过 程 和 步骤 没有 固定 化 的 情况 下 ,能 够 指导 网 络 取 证 的 开展 ,保证 取得 证 据 的 
合法 性 和 真实 性 。 因 此 ,探讨 网 络 取 证 的 原则 ,必须 回归 到 证 据 学 的 本 原 上 ,要 使 网 络 取 
证 获得 的 证 据 能 够 被 采信 ,就 应 该 保证 其 符合 证 据 的 三 大 特性 : 客观 性 .关联 性 和 合 
法 性 。 

1) 客观 性 原则 

客观 性 原则 是 指 必 须 保 证 网 络 取 证 得 来 的 证 据 的 真实 性 , 即 网 络 电子 证 据 在 生成 、 存 
储 、 传 输 过 程 无 剪接 .删改 、 奉 换 的 情况 ,其 内 容 前 后 保持 完整 一 致 。G8 小 组 数字 取证 原 
则 中 的 “捕获 数字 证 据 后 ,任何 举措 都 不 得 改变 证 据 ? 以 及 国内 学 者 提出 的 “必须 保证 证 气 
没有 受到 任何 破坏 等 原则 ?都 是 从 维护 证 据 的 客观 性 角度 出 发 的 。 电 子 证 据 本 身 极 易 被 
剪辑 和 变 造 ,这 就 要 求 网 络 取证 程序 必须 严格 保证 取证 结果 的 真实 性 。 在 证 据 被 正式 提 
交 时 ,必须 能 够 说 明证 据 从 最 初 获取 时 的 状态 到 出 示 时 的 状态 之 间 的 任何 变化 。 我 国 《 电 
子 签名 法 ;第 八条 规定 :“ 审 查 数据 电文 作为 证 据 的 真实 性 ,应 当 考 虑 以 下 因素 : 中 生成 、 
储存 或 者 传递 数据 电文 方法 的 可 靠 性 ; 保持 内 容 完 整 性 方法 的 可 靠 性 ; 色 用 以 鉴别 发 
件 人 方法 的 可 靠 性 ; 由 其 他 相关 的 因素 .” 这 也 就 是 对 数据 电文 这 种 重要 的 网 络 电子 证 据 
客观 性 要 求 的 具体 审查 判断 。 

网 络 取证 是 随 着 网 络 技术 的 发 展 而 广泛 应 用 的 。 网 络 取 证 需要 处 理 好 网 络 取证 程序 
客观 性 与 技术 之 间 的 关系 。 一 般 认 为 ,网 络 取证 必须 采用 先进 的 技术 和 工具 ,但 是 必须 在 
保证 客观 性 的 基础 上 推行 运用 新 技术 。 一 项 新 取证 技术 在 取证 结果 客观 性 没有 被 证 实 的 
前 提 下 ,是 不 能 被 应 用 到 网 络 取证 过 程 中 的 。 

2) 关联 性 原则 

关联 性 是 指 必须 保证 网 络 取证 得 来 的 电子 证 据 与 待 证 事件 事实 之 间 有 关联 。 联 合 国 
《电子 商务 示范 法 ) 第 九条 第 一 款 规 定 :“ 在 任何 法 律 程序 中 ,在 应 用 有 关 证 据 的 任何 规则 
时 ,如 果 涉 及 一 条 数据 电文 作为 证 据 的 可 接受 性 ,就 不 能 以 它 仅仅 是 一 条 数据 电文 为 理由 
予以 拒绝 。 更 不 能 在 当 它 是 提供 者 在 合理 情况 下 所 能 提供 的 最 好 证 据 时 , 仅 以 它 不 是 原 
初 形式 为 理由 加 以 否认 。《 最 高 人 民法 院 关 于 民事 诉讼 证 据 的 知 干 规定 第 七 十 条 规定 : 
“一 方 当 事 人 提出 的 下 列 证据 , 对 方 当 事 人 提出 异议 但 没有 足以 反驳 的 相反 证 据 的 ,人 民 
法 院 应 当 确 认 其 证 明 力 : (一 ) 书 证 原件 或 者 与 书证 原件 核对 无 误 的 复印 件 、 照 片 . 副 本 、 
节录 本 ;( 二 ) 有 其 他 证 据 佐 证 并 以 合法 手段 取得 的 、 无 疑点 的 视听 资料 或 者 与 视听 资料 核 
对 无 误 的 复制 件 ,” 这 些 都 保证 了 网 络 取证 得 来 的 电子 证 据 与 待 证 事件 事实 之 间 有 关联 就 
可 以 被 采信 。 但 是 ,这 种 关联 必须 是 网 络 取证 得 来 的 电子 证 据 对 待 证 事件 事实 具有 的 实 
质 性 意义 。 网 络 上 的 资源 是 海量 的 ,能 够 取得 与 待 证 事件 事实 之 间 有 关联 的 信息 非常 多 ， 
但 并 不 能 都 作为 证 据 使 用 。 这 就 要 求 网 络 取证 程序 必须 严格 按照 收集 与 待 证 事件 事实 之 
间 有 实质 性 关联 的 证 据 的 指导 思想 来 开展 。 


101 


网 络 安全 运营 


3) 合法 性 原则 

证 据 的 合法 性 是 指证 据 符合 法 律 规定 的 所 有 要 素 。 证 据 的 合法 性 判断 标准 是 证 据 的 
主体 .取得 证 据 的 程序 方式 以 及 证 据 的 形式 是 否 符合 法 律 规定 的 评判 依据 。 可 见 取证 程序 
的 合法 性 是 保证 证 据 合 法 性 的 一 个 重要 方面 。 网 络 取证 程序 也 必须 严格 遵守 合法 性 原则 ， 
也 就 是 必须 符合 法 律 规定 的 评判 依据 。 网 络 取证 程序 的 合法 性 原则 表现 在 以 下 4 个 方面 : 

(1) 网 络 取 证 的 程序 必须 合法 。 在 网 络 取 证 过 程 当中 ,必须 按照 合法 的 程序 开展 工 
作 ,否则 取证 的 结果 将 不 被 法 律 认 可 ,最 终 不 被 采信 。 

(2) 网 络 取 证 的 工具 必须 合法 。 网 络 取证 过 程 中 要 采取 合法 的 技术 手段 和 工具 软 
件 , 保 证 电子 证 据 从 收集 到 分 析 的 合法 性 。 目 前 蜜 铅 技 术 的 法 律 性 质 备 受 质 疑 , 就 是 由 于 
这 个 方面 的 原因 。 

(3) 网 络 取证 的 主体 合法 。 网 络 取 证 对 技术 的 要 求 较 高 ,取证 人 员 必 须 是 依法 取得 
职业 资格 证 的 人 员 。 

(4) 网 络 取证 必须 注意 与 相关 当事人 的 权利 冲突 问题 ,这 里 主要 是 指 隐私 权 。 

凡是 违反 法 定 程 序 取得 的 证 据 都 应 予以 排除 , 即 所 谓 “ 非 法 证 据 排 除 规则 ”。 如 我 国 
《刑事 诉讼 法 ) 第 四 十 三 条 规定 :“ 和 审判. 检察 .侦查 人 员 必 须 依照 法 定 程 序 , 收 集 能 够 证 实 
犯罪 嫌疑 人 、 被 告 人 有 罪 或 无 罪 . 犯 罪 情节 轻重 的 各 种 证 据 。 严 禁 刑讯 通 供 和 以 威胁 、 引 
诱 、 其 骗 以 及 其 他 非法 的 方法 收集 证 据 。” 最 高 人 民法 院 4 关 于 民事 诉讼 证 据 的 知 干 规定 》 
第 六 十 八条 规定 :“ 以 侵害 他 人 合法 权益 或 者 违反 法 律 禁止 性 规定 的 方法 取得 的 证 据 , 不 
能 作为 认定 案件 事实 的 依据 。” 


2. 网 络 取证 的 过 程 模型 

1) 基本 过 程 模型 

基本 过 程 模型 (basic process model) 的 取证 过 程 包括 现场 保护 及 隔离 ,记录 现场 信 
县 .系统 查找 证 据 ,证据 提 取 与 打包 ,保护 监督 链 , 如 图 5-9 所 示 。 该 模型 实际 上 缺乏 取证 
准备 阶段 ,模型 粒度 较 粗 ,但 是 涵盖 了 取证 的 基本 过 程 ,有 对 网 络 证 据 的 保护 措施 ,对 网 络 
取证 有 一 定 的 指导 作用 。 


现场 体 护 及 隅 离 记录 现场 信息 


证 据 担 权 与 打包 系统 查找 证 据 


图 5-9 网络 取证 的 基本 过 程 模型 


2) 事件 啊 应 过 程 模型 
事件 啊 应 过 程 模型 (incident response process model) 把 计算 机 取证 的 过 程 分 为 如 下 
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阶段 : 

(1) SO oie mann not cipal 

(2) 事件 侦 测 阶段 。 识 别 可 疑 事 件 是 否 发 

(3) 初始 啊 应 阶段 。 人 tin ON 

(4) 响应 策略 确定 阶段 。 依 据 已 掌握 的 情况 制定 应 急 啊 应 策略 。 

(5) 备份 阶段 。 创 建 系统 的 一 个 备份 以 便 取证 。 

(6) 调查 阶段 。 调 查 系 统 以 便 识 别 攻 击 者 身份 .攻击 手段 及 攻击 路 径 , 即 追 踩 亢 源 。 

(7) 安全 方案 实施 阶段 。 保 护 受害 系统 ,防止 受害 系统 遭受 进一步 损害 ,同时 对 可 疑 
程序 或 系统 进行 隔离 。 

(8) 网 络 监控 阶段 。 监 视 网 络 以 便 识 别 可 能 的 攻击 ,获取 实时 证 据 。 

(9) 恢复 阶段 。 将 系统 恢复 到 初始 状态 。 

(10) 报告 和 补充 阶段 。 记 录取 证 相应 的 步骤 以 及 修补 系统 的 过 程 , 对 取证 过 程 及 方 
法 进行 回顾 审查 ,并 合理 调整 系统 安全 策略 。 

事件 啊 应 过 程 模型 主要 是 针对 被 怀疑 的 网 络 系统 的 应 急 啊 应 ,核实 是 否 存 在 正在 运 
行 的 系统 被 攻击 ,并 使 被 攻击 的 系统 恢复 原始 状态 ,与 基本 过 程 模型 相 比 ,事件 啊 应 过 程 
模型 增加 了 取证 准备 阶段 ,并 对 后 续 网 络 取 证 过 程 进行 了 细 粒 度 的 划分 ,是 比较 完善 的 网 
络 取证 模型 。 

3) DFRW 取证 模型 

DFRW 取证 模型 是 DFRW 工作 组 提出 的 计算 机 取证 基本 框架 ,该 框架 包括 证 据 识 
别 `. 证 据 保 存 . 证 据 收集 .证 据 检验 .证 据 分 析 . 证 据 保 存 和 证 据 提 交 。DEFRW 取证 模型 如 
图 5-10 所 示 。 


图 5-10 DFRW 网 络 取 证 模型 


在 DFRW 取证 模型 中 ,主机 硬盘 也 被 认为 是 网 络 证 据 之 一 。 该 模型 更 全 面 地 拓展 了 
网 络 证 据 的 处 理 过 程 ,进一步 发 展 和 完善 了 网 络 取证 基本 理论 和 基本 方法 。DFRW 取证 
模型 框架 的 创立 对 于 学 术 虱 在 网 络 取证 领域 中 的 人 研究 方 回 的 定位 起 到 了 推动 作用 。 

4) Alec 网 络 取证 模型 

与 传统 的 计算 机 取证 模型 不 同 , 由 Alec Yasinsac 等 人 提出 的 Alec 网 络 取 证 模型 的 
周期 从 取证 行为 开始 , 即 在 计算 机 网 络 犯 罪 发 生前 就 开始 收集 证 据 。 该 模型 的 实现 往往 
需要 将 计算 机 取证 工具 和 入 侵 检测 系统 、 蜜 铅 、 防 火 墙 等 网 络 安 全 工具 相 结 合 , 如 图 5-11 
所 示 。 

3. 网 络 取证 的 步 了 


网 络 取 证 步骤 是 对 网 络 取 证 程序 和 网 络 取 证 过 程 模 型 的 具体 化 ,是 具体 的 网 络 取 证 
过 程 。 网 络 取证 一 般 包 括 如 下 步 嗓 : 
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收集 证 据 


攻击 进行 中 
收集 证 据 


攻击 被 检测 到 


图 5-11 Alec 网 络 取 证 模型 


(1) 原始 数据 的 获取 。 这 是 网 络 取证 的 第 一 步 。 网 络 原 始 数据 的 来 源 包 括 网 络 数 
据 .系统 信息 .硬盘 .光盘 及 服务 硕 的 记录 等 。 

(2) 数据 过 滤 和 分 析 。 获 取 的 原始 网 络 数据 中 包含 了 很 多 与 证 据 无 关 的 信息 ,在 分 
析 之 前 需要 过 小, 以 精 何 数据 。 

(3) 网 络 取证 分 析 。 这 层 关联 分 析 数 据 ,重建 网 络 上 发 生 过 的 系统 行为 和 网 络 行为 。 

(4) 取证 结论 表示 。 对 上 述 网 络 取 证 分 析 的 过 程 进行 总 结 , 得 到 网 络 取证 分 析 的 相 
关 结 论 , 以 证 据 的 形式 提交 ,给 出 专家 意见 。 


5.2.3 网 络 取 证 的 应 用 技术 


网 络 取 证 常 第 要 信 助 一 些 相 对 成 熟 的 网 络 安全 防御 技术 ,如 入 侵 检 测 拉 术 、 署 镶 技 


1. 入 侵 检 测 技术 

和 人 侵 检 测 拉 术 的 全 究 涉及 计算 机 数据 库 . 通信、 网 络 等 多 方面 的 知识 ,一 个 有 效 的 人 
侵 检 测 系统 不 仅 要 求 能 够 正确 地 识别 系统 中 的 人 侵 行 为 ,而 且 要 考虑 到 检测 系统 本 身 的 
安全 以 及 如 何 适 应 网 络 环境 发 展 的 需要 。 所 有 这 些 痢 表明 : 人 侵 检 测 系 统 是 一 个 复杂 的 
数据 处 理 系 统 , 其 涉及 的 问题 域 中 的 各 种 关系 也 比较 复 森 。 

数据 源 提供 了 受 保 护 系 统 的 运行 状态 和 活动 记录 。 而 审计 数据 的 人 处理 分 析 , 包 括 对 
原始 数据 的 同步 、 整 理 、 组 织 , 分 类 以 及 各 种 类 型 的 细致 分 析 , 是 为 了 提取 其 中 所 包含 的 系 
统 活动 特征 或 模式 , 据 此 对 异 第 和 正当 行为 作出 判断 。 

分 析 是 和 人 侵 检 测 的 核心 功能 。 它 可 以 很 商 单 ,例如 根据 日 志 来 建立 决策 表 ; 也 可 以 很 
复杂 ,例如 集成 数 百 万 个 处 理 的 非 参 数 统计 量 。 

下 面 介 绍 入 侵 检测 系统 分 析 处 理 的 过 程 ,在 这 里 ,定义 一 个 包含 能 在 系统 事件 日 志 中 
找到 入 侵 证 据 的 所 有 方法 的 模型 。 把 入 侵 检测 系统 的 分 析 过 程 分 为 构造 分 析 各 、 分 析 数 
据 \ 反 馈 和 更 新 3 个 阶段 。 
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1) 构造 分 析 需 

在 分 析 模 型 中 ,第 一 阶段 的 任务 就 是 构造 分 析 需 (也 称 分 析 引 擎 ) 。 分 析 融 执行 预 处 
理 分 类 和 后 处 理 的 核心 功能 。 不 考虑 分 析 方 法 ,要 使 分 析 恬 能 够 正常 运行 ,必须 使 它 能 
够 与 其 操作 环境 相配 合 , 即 使 在 独立 作为 系统 的 一 部 分 被 执行 的 基本 系统 中 ,这 个 阶段 也 
是 必需 的 。 

(1) 收集 并 生成 事件 信息 。 构 造 分 析 器 的 第 一 步 是 收集 事件 信息 。 这 一 阶段 可 能 收 
集 一 个 系统 产生 的 事件 信息 ,也 可 能 收集 实验 室 环境 下 的 事件 信息 ,具体 依赖 于 分 析 方 
法 。 在 有 些 情 况 下 ,根据 一 套 正 式 的 规范 来 工作 的 开发 人 员 可 能 会 人 工 收集 这 些 事件 
信息 。 

对 于 误 用 检测 ,将 处 理 收集 到 的 入 侵 信 息 , 其 中 包括 脆弱 性 、 攻 击 和 威胁 .具体 攻击 工 
具 和 观察 到 的 重要 信息 。 在 这 种 情况 下 , 误 用 检测 也 收集 典型 的 一 致 策略 .过 程 和 活动 
信息 。 

对 于 异常 检测 ,其 事件 信息 来 自 系 统 本 身 或 指定 的 相似 系统 ,因此 事件 信息 是 建立 指 
示 正 常用 户 行为 的 基准 特征 轮廓 所 必需 的 。 

(2) 预 处 理 信 息 。 在 收集 事件 信息 完成 之 后 ,这 些 信息 需要 经 过 许多 转换 以 备 分 析 
需 使 用 。 它 们 可 能 被 修改 成 通用 的 或 规范 的 格式 。 这 种 格式 通 背 作为 分 析 器 的 一 部 分 。 
在 一 些 系 统 中 ,对 数据 也 可 能 要 进行 结构 化 处 理 ,以 便 进行 特性 选择 或 执行 其 他 一 些 
处 理 。 

在 误 用 检测 中 ,数据 预 处 理 通常 包括 对 收集 到 某 种 通用 表格 中 的 事件 信息 进行 转换 。 
例如 攻击 症状 和 策略 冲突 可 能 被 转换 成 基于 状态 转换 的 信号 或 某 种 产品 系统 规则 。 在 一 
个 基于 网 络 的 入 侵 检测 系统 中 ,数据 包 可 能 首先 会 被 缓存 起 来 ,并 在 TCP 会 话 期 被 重建 。 

在 异常 检测 中 ,事件 数据 可 能 被 转换 成 数据 表 , 例 如 将 系统 名 转换 成 IP 地 址 。 同 样 ， 
不 同 的 信息 也 可 能 会 被 转换 成 一 些 规 范 的 表格 。 

规范 表格 用 于 以 单个 分 析 需 监视 多 个 操作 系统 。 每 个 操作 系统 都 有 月 己 的 事件 数据 
格式 。 入 侵 检 测 系 统 开 发 者 可 以 开发 一 个 能 够 分 析 来 日 不 同 操作 系统 的 数据 的 通用 分 析 
船 。 开 发 者 可 集中 将 新 操作 系统 的 事件 数据 转换 成 规范 格式 ,规范 格式 同样 也 适用 于 在 
一 种 操作 系统 环境 下 进行 一 般 分 析 。 有 些 入 侵 检测 专家 认为 : 许多 企业 完全 集中 于 常用 
的 操作 系统 ,以 至 于 规范 格式 也 不 再 使 用 。 

(3) 建立 行为 分 析 器 。 建 立行 为 分 析 器 就 是 按 设计 原则 建立 一 个 数据 区 分 器 , 它 能 
够 把 人 侵 指 示 数 据 和 非 人 侵 指 示 数 据 区 分 开 来 。 数 据 区 分 器 的 建立 依赖 于 分 析 方 法 。 

在 误 用 检测 中 ,数据 区 分 器 是 建立 在 规则 或 其 他 模式 摘 述 的 行为 上 的 ,这 些 规则 或 摘 
述 能 分 成 单一 特征 或 复合 特征 。 例 如 ,检测 到 一 个 非 正 常 格式 的 IP 包 属 于 单一 特征 ,而 
检测 到 一 个 在 UNIX 系统 下 发 送 E-mail 的 攻击 就 属于 复合 特征 。 

一 个 误 用 检查 区 分 器 的 结构 可 以 是 一 个 专家 系统 。 专 家 系统 由 一 个 知识 库 构 成 , 知 
识 库 包 括 基 于 过 去 的 人 侵 行 为 建立 的 规则 ,这 些 规则 通常 采用 if-then-else 的 结构 。 

误 用 检查 区 分 器 的 结构 也 可 以 是 模式 引擎, 它 把 入 侵 行 为 作为 攻击 匹配 特征 去 匹配 
审计 数据 。 由 于 建立 在 这 个 模型 上 的 许多 系统 是 十 分 可 靠 、 有 效 的 ,因此 ,目前 商业 入 侵 
检测 产品 大 多 采用 这 种 方法 。 
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在 异 委 检测 中 ,区 分 模型 通常 由 用 户 过 去 行为 的 统计 特征 轮 廊 构成 ,这 些 统计 特征 轮 
廓 也 用 于 标识 系统 处 理 的 行为 。 这 些 统计 特征 轮廓 按照 各 种 算法 进行 计算 ,在 用 户 行为 
模式 下 ,其 应 用 方案 可 能 会 逐渐 变化 。 这 些 统计 特征 轮廓 可 以 按照 固定 或 可 变 的 进度 表 
进行 修补 。 

(4) 将 事件 数据 输入 分 析 絮 中。 在 行为 分 析 带 建 好 后 ,就 需要 将 预 处 理 后 的 事件 输 
和 人 到 分 析 顺 中 。 

对 于 误 用 检测 ,主要 使 用 预 处 理事 件数 据 或 攻击 知识 的 内 容 , 将 收集 到 对 分 析 器 有 丰 
富 意 义 的 攻击 数据 输入 到 误 用 检测 中 。 

对 于 异常 检测 ,通过 运行 异常 检测 需 ,将 收集 到 的 数据 输入 其 中 ,并 允许 系统 基于 这 
些 数据 计算 用 户 行为 的 统计 特征 轮廓 。 输 入 异常 检测 如 的 历史 数据 对 于 入 侵 检 测 来 说 往 
往 是 不 够 的 ,通常 假定 没有 任何 协作 证 据 , 因 此 ,为 异常 检测 器 寻找 合适 的 参考 事件 数据 
是 非常 重要 的 。 

(5) 保存 已 输入 数据 的 模型 。 无 论 采 用 什么 方法 ,输入 数据 后 的 模型 都 应 该 被 存储 
到 预定 的 位 置 ,例如 保存 在 知识 库 中 ,以 备 操作 使 用 。 在 这 种 意义 上 ,输入 数据 的 模型 包 
含 了 所 有 的 分 析 标 准 , 事 实 上 也 包含 了 分 析 咒 的 实际 核心 。 

2) 分 析 数 据 

在 对 现场 实际 数据 分 析 的 阶段 中 ,分 析 需 需要 分 析 现 场 实际 数据 ,识别 人 侵 和 其 他 重 
要 活动 。 

(1) 输入 事件 记录 。 执 行 分 析 的 第 一 步 是 收集 信息 源 产生 的 事件 记录 ,这 样 的 信息 
源 可 能 是 网 络 数据 包 、 操 作 系 统 的 审计 记录 或 应 用 日 志文 件 , 并 且 这 些 信息 源 都 必须 是 可 
靠 的 。 

(2) 事件 预 处 理 。 与 构造 分 析 器 阶段 一 样 ,在 分 析 阶 段 也 可 能 需要 一 些 事件 数据 的 
预 处 理 。 预 处 理 的 确切 性 质 取 决 于 分 析 的 性 质 。 例 如 ,从 高 级 会 话 中 抽出 各 种 TCP 消 
息 , 并 且 把 来 自 操 作 系 统 的 过 程 标识 符 构 造成 一 个 高 度 集成 的 处 理 树 。 

对 于 误 用 检测 ,事件 数据 通常 都 转化 成 典型 的 表格 ,与 攻击 信号 的 结构 对 应 。 在 一 些 
方法 中 ,事件 数据 被 集成 起 来 。 例 如 ,将 用 户 会 话 期 .网络 连 接 或 其 他 高 级 事件 构成 一 些 
重要 的 微 时 间 片 段 。 在 其 他 方法 中 ,可 能 会 通过 捆绑 一 些 属性 (即行 为 分 析 需 使 用 事件 数 
据 的 一 些 属 性 ) 完全 删除 其 他 属性 和 在 其 他 数据 上 进行 计算 生成 新 的 、 格 式 紧 凑 的 数据 

对 于 异常 检测 ,事件 数据 通常 被 精简 成 一 个 轮廓 回 量 。 

(3) 比较 事件 记录 和 知识 库 。 对 格式 化 的 事件 记录 和 知识 库 的 内 容 进行 比较 。 接 下 
来 的 处 理 取决 于 比较 结果 和 对 分 析 方 案 的 质疑 。 如 果 事 件 记 录 指 示 一 次 人 侵 , 那 么 就 可 
以 记 入 日志 ;如 果 事 件 记 录 没 有 指示 ,分析 器 就 比较 下 一 个 记录 。 

在 误 用 检测 中 , 预 处 理事 件 记 录 被 提交 给 一 个 模式 匹配 回 。 如 果 模 式 匹 配器 在 攻击 
信号 和 事件 记录 中 找到 一 个 匹配 , 则 返回 一 个 警告 。 在 一 些 误 用 检测 需 中 ,如 果 找 到 一 个 
部 分 匹配 ,这 种 情况 可 能 被 记录 或 缓存 在 内 存 中 ,等 待 进一步 的 信息 以 便 作 出 更 明 硝 的 
决定 。 

在 异常 检测 中 ,将 会 比较 用 户 会 话 行为 特征 轮 廊 的 内 容 与 其 历史 特征 轮廓 的 内 容 , 把 
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比较 的 结 末 作 为 异 律 判定 的 依据 。 如 采用 户 行为 特征 轮 慷 与 历史 行为 特征 轮 鹿 有 足够 的 
相关 度 ,可 能 本 次 访问 不 是 攻击 ;如 采 判 断 用 户 行 为 是 异 毅 的 , 束 返 回 一 个 雹 告 。 

许多 基于 异 第 检测 的 人 侵 检 测 引 擎 可 能 也 同时 执行 误 用 检测 ,所 以 实现 方案 中 ,上 述 
方法 可 能 组 合 在 一 起 使 用 。 

(4) 产生 啊 应 。 如 采 事 件 记 录 与 人 侵 或 其 他 重要 行为 匹配 , 则 需要 返回 一 个 啊 应 。 
啊 应 的 性 质 取 决 于 具体 分 析 方 法 的 性 质 。 啊 应 可 以 是 一 个 和 警告 .日 志和 条目, 或 由 人 侵 检 测 
系统 管理 员 指 定 的 其 他 行为 。 

3) 反馈 和 更 新 

有 反馈 和 更 新 是 一 个 非常 重要 的 过 程 。 在 误 用 检测 系统 中 ,这 个 阶段 的 主要 功能 是 更 
新 攻击 信息 的 特征 数据 库 。 每 天 都 能 够 根据 新 攻击 方式 的 出 现 来 更 新 攻击 信息 的 特征 数 
据 库 是 非常 重要 的 。 许 多 优化 的 信号 引擎 能 够 在 系统 正在 监听 事件 数据 ,没有 中 断 分 析 
过 程 的 同时 ,由 系统 管理 员 更 新 信号 数据 库 。 

大 多 数 基于 误 用 检测 的 分 析 方 案 都 有 一 些 关 于 最 大 时 间 间 隔 的 限制 ,以 便 在 这 段 时 
间 内 匹配 一 次 攻击 事件 。 

保存 状态 信息 帘 要 一 个 大 容量 的 内 存 。 尤 其 是 在 比较 替 忙 的 系统 中 ,有 多 个 用 户 、 进 
程 和 网 络 连 接 时 ,状态 信息 的 管理 是 系统 稳定 运行 的 关键 。 在 基于 网 络 的 入 侵 检 测 系 统 
中 能 够 看 到 这 方面 的 影 啊 。 

在 异常 检 测 系 统 中 , 依 徘 执 行 异 第 检测 的 类 型 ,定时 更 新 历史 统计 特征 轮 鹿 。 例 如 ， 
在 人 侵 检 测 专家 系统 (Intrusion Detection Expert System,IDES) 中 ,每 天 都 进行 特征 轮 
万 的 更 新 。 每 个 用 户 的 摘要 资料 被 加 入 知识 库 中 ,并 且 删 除 最 老 的 资料 。 对 于 其 余 的 资 
料 ,可 以 给 它们 指定 一 个 老化 因子 。 通 过 这 种 方法 ,近期 的 用 户 行 为 能 够 有 效 地 影响 入 侵 


2. 宽 抬 技术 

暑 饶 是 一 种 在 互联 网 上 运行 的 计算 机 系统 ,其 目的 在 于 吸引 攻击 痢 对 其 发 起 攻击 , 然 
后 记录 攻击 者 的 一 举 一 动 。 它 是 专门 为 了 引 谤 那些 企图 非法 回 入 他 人 计算 机 系统 的 入侵 
者 而 设计 的 。 芯 多 就 像 是 情报 收集 系统 ,设计 蜜 饶 主要 是 为 了 给 攻击 者 提供 一 个 容易 攻 
击 的 目标 ,引诱 攻击 者 前 来 攻击 。 当 攻击 者 入 侵 后 ,该 系统 能 够 日 动 监 视 和 记录 其 所 有 的 
操作 行为 ,使 取证 人 员 了 解 到 攻击 者 的 攻击 手段 、 腰 略 . 工具 和 目标 ,实现 实时 取证 。 

具体 来 讲 , 蜜 入 系 统 最 重要 的 功能 是 对 系统 中 所 有 操作 和 行为 进行 监视 和 记录 ,网 络 
安全 专家 通过 精心 的 伪 疼 ,使 得 攻击 者 在 进入 目标 系统 后 仍 不 知道 目 己 所 有 的 行为 已 经 
处 于 系统 的 监视 下 。 为 了 吸引 攻击 者 , 通 疝 在 均 缸 系统 上 故意 留 下 一 些 安全 后 门 ,或 者 放 
置 一 些 网 络 攻 击 者 希望 得 到 的 敏感 信息 ,当然 这 些 信息 虱 是 虚假 的 。 为 外 ,一 些 蜜 座 系统 
对 攻击 者 的 聊天 内 容 进 行 记 录 , 管 理 员 通 过 研 究 和 分 析 这 些 记 录 ,可 以 得 到 攻击 者 采用 的 
攻击 工具 、 攻 击 手段 .攻击 目的 和 攻击 水 平等 信息 ,还 能 对 攻击 痢 的 活动 范围 以 及 下 一 个 
攻击 目标 进行 判断 ;同时 ,在 条 种 程度 上 ,这 些 信 息 将 会 成 为 对 攻击 者 进行 起 诉 的 证 据 。 
蜜 挫 系统 仅仅 是 一 个 对 其 他 系统 和 应 用 的 仿 丰 ,可 以 创建 一 个 监禁 环境 将 攻击 者 困 在 其 
中 ,还 可 以 是 一 个 标准 的 产品 系统 ,无 论 使 用 者 如 何 建 立 和 使 用 蜜 挫 ,只 有 当 它 受到 攻击 
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时 , 它 的 作用 才能 发 挥 出 来 。 

蜜 乓 的 配置 模式 主要 分 为 以 下 4 种 。 

1) 诱骗 服务 

诱骗 服务 (deception service) 是 指 在 特定 的 IP 服务 端口 侦 听 并 像 应 用 服务 程序 那样 
对 各 种 网 络 请 求 进行 应 答 的 应 用 程序 。DTK 就 是 这 样 的 一 个 服务 性 产品 。DTK 吸引 攻 
击 者 的 手段 就 是 可 执行 性 , 它 模 仿 那些 具有 可 攻击 弱点 的 系统 与 攻击 者 进行 交互 ,所 以 可 
以 产生 的 应 答 非 常 有 限 。DTK 在 这 个 过 程 中 对 所 有 的 行为 进行 记录 ,同时 提供 较为 合理 
的 应 党 , 并 给 问 入 系统 的 攻击 者 市 来 系统 并 不 安全 的 错觉 。 例 如 ,将 诱骗 服务 配置 为 
FTP 服务 的 模式 , 当 攻 击 者 连接 到 TCP/21 器 口 的 时 候 , 驶 会 收 到 一 个 由 密 镀 系统 发 出 
的 FTP 的 标识 。 如 果 攻 击 者 认为 该 密 饶 系统 就 是 他 要 攻击 的 FTP 服务 ,他 就 会 采用 攻 
击 FTP 服务 的 方式 进入 系统 ,这 样 , 系 统管 理 员 便 可 以 记录 攻击 的 细 克 。 

2) 弱化 系统 

弱化 系统 (weakened system) 的 原理 是 : 在 外 部 网 络 上 有 一 台 计 算 机 运行 没有 打 补 
本 的 Windows 或 者 Red Hat Linux, 这 样 的 特点 使 攻击 者 更 加 容易 进入 系统 ,系统 可 以 
收集 有 效 的 攻击 数据 。 因 为 攻击 者 可 能 会 设 陷阱 ,以 获取 计算 机 的 日 志和 审查 功能 ,所 以 
弱化 系统 需要 运行 额外 的 记录 系统 ,以 实现 对 日 志 记 录 的 异地 存储 和 备份 。 它 的 缺点 是 
“高 维护 、 低 收益 > ,这 是 因为 获取 已 知 的 攻击 行为 是 毫 无 意义 的 。 

3) 强化 系统 

强化 系统 (hardened system) 同 弦 化 系统 一 样 ,提供 了 一 个 真实 的 环境 ,不 过 强化 系 
统 已 经 “武装 ?成 看 似 足 够 安全 的 。 当 攻击 者 冰 人 时 , 蜜 缸 就 开始 收集 信息 , 它 能 在 很 短 的 
时 间 内 收集 很 多 有 效 数 据 。 使 用 这 种 蜜 缸 需要 系统 管理 员 具 有 很 高 的 专业 技术 水 平 。 如 
采 攻 击 者 具有 更 高 的 技术 水 平 , 那 么 ,他 很 可 能 取代 管理 员 对 系统 进行 控制 ,从 而 对 其 他 
系统 发 动 攻击 。 

用 户 模 式 服务 器 (user mode server) 实 际 上 是 一 个 用 户 进程 , 它 运 行 在 主机 上 ,并且 
模拟 成 一 个 真实 的 服务 各。 在 真实 主机 中 ,每 个 应 用 程序 都 被 视 作 一 个 具有 独立 IP 地 址 
的 操作 系统 和 服务 的 特定 实例 ;而 用 户 模 式 服务 器 进程 就 租 套 在 主机 操作 系统 的 应 用 程 
序 空 间 中 , 当 互 联网 用 户 回 用 户 模式 服务 需 的 IP 地 址 发 送 请 求 时 ,主机 将 接收 请 求 并 且 
转发 到 用 户 模 式 服 务 帮 上 。 它 的 优点 体现 在 系统 管理 员 对 用 户主 机 有 绝对 的 控制 权 。 即 
使 玖 饶 被 攻陷 ,由 于 用 户 模式 服务 天 是 一 个 用 户 进程 ,系统 管理 员 只 要 关闭 该 进程 怠 可 以 
了 。 男 外 ,这 种 模式 可 以 将 防火 墙 和 入 侵 检 测 系 统 集 中 于 同一 台 服 务 占 上 。 当 然 ,其 局 限 
性 是 不 适用 于 所 有 的 操作 系统 。 

当 察 觉 到 攻击 者 已 经 进入 蜜 钢 的 时 候 , 接 下 来 的 任务 就 是 数据 收集 了 。 数 据 收集 是 
设置 密 饶 的 另 一 项 技术 挑战 。 密 饶 监 控 者 只 要 记录 进出 系统 的 每 个 数据 包 , 就 能 够 对 攻 
击 者 的 所 作 所 为 一 清二 楚 。 窄 钠 本 对 的 日 志文 件 也 是 很 好 的 数据 来 源 ,但 日 志文 件 很 容 
易 被 攻击 者 删除 ,所 以 通 津 的 办 法 就 是 让 蜜 钢 向 在 同一 网 络 中 防御 机 制 较 完善 的 远程 系 
统 日 志 服 务 表 发 送 日 志和 备份。 
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1. 追 中 济源 的 定义 是 什么 ”为 什么 追 踊 湖 源 有 一 定 的 困难 ? 
2. 向 述 追 踩 渊源 的 分 类 。 

3. 追 味 潮 源 需要 哪些 信息 ? 

4. 追踪 漳 源 有 哪 几 个 层次 ? 

. 人 妃 味 济源 的 基本 架构 是 怎样 的 ? 

. 简 述 追 踩 溯源 的 基本 流程 。 

水 溯源 的 技术 评估 指标 有 哪些 ? 
. 简 述 网 络 取证 的 定义 与 特点 。 

9. 网 络 取证 程序 是 什么 ? 

10. 网 络 取证 的 原则 是 什么 ? 

11. 简 述 DFRW 网 络 取证 模型 。 

12. 价 述 网 络 取 证 的 步 又 。 

13. 什么 是 蜜 具 技术 ? 


4 


追踪 漳 源 与 取证 
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网 络 安全 领域 的 应 急 啊 应 是 指 在 突 发 重大 了 网络 安全 事件 后 对 包括 计算 机 运行 在 内 的 
业务 运行 进行 维持 或 恢复 的 各 种 扩 术 、 管 理 策 略 与 规程 。 本 章 先 介绍 应 急 啊 应 ee 
全 应 急 啊 应 的 基本 概念 ; 接 大 详细 描述 网 络 安全 应 急 啊 应 的 分 类 与 特点 ,以 及 能 力 建设 
流程 ;最 后 具体 分 析 网 络 安全 应 急 啊 应 组 织 体系 的 模型 .架构 以 及 运行 机 制 。 


6.1 ”应 急 咖 应 概述 


6.1.1 应 急 啊 应 定义 


一 般 来 说 ,应 急 啊 应 (emergency response) 机 制 是 由 政府 或 组 织 推 出 的 针对 各 种 突 
发 公共 事件 而 设立 的 各 种 应 急 方案 ,通过 该 方案 使 损失 减 到 最 小 。 而 应 急 响 应 系统 则 是 
为 应 对 突 发 事件 ,由 一 定 的 (作业 实施 ) 要 素 按 特定 的 组 织 形式 构成 ,以 实现 社会 系统 安全 
你 障 功 能 为 目的 的 统一 整体 。 随 看 近年 来 越 来 越 多 的 大 型 企业 逐渐 实现 办 公 环 境 其 至 生 
产 环 厄 的 网 络 化 ,部 分 企业 已 经 建立 起 企业 级 的 应 急 啊 应 机 制 和 应 急 啊 应 系统 。 

应 急 啊 应 的 主体 通常 是 政府 部 门 , 大 型 机 构 、 基 础 设施 管理 经 彰 单 位 或 企业 等 。 应 急 
啊 应 所 处 理 的 问题 ,通常 为 突 发 公共 事件 或 突 发 的 重大 安全 事件 。 应 急 啊 应 所 采取 的 指 
施 通 第 为 临时 性 的 应 急 方 案 , 属 于 短期 的 针对 性 较 强 的 处 置 措施 。 应 急 啊 应 的 首要 目的 
古 减 少 突 发 事件 所 造成 的 损失 ,包括 人 民 群 众 的 生命 .财产 损失 ,国家 和 企业 的 经 济 损失 ， 
以 及 相应 的 社会 不 民 影 啊 等 。 

应 忽 啊 应 方案 是 复 末 而 体系 化 的 突 发 事件 应 急 方 案 , 包 括 预 案 管 理 、 应 急行 动 方 案 、 
组 织 管理 .信息 管理 等 环节 。 其 相关 执行 主体 包括 应 急 响应 相关 责任 单位 、 应 急 指 挥 人 
员 应急 名 响应 工作 实施 组 织 、 事件 发 生 当 事 人 。 


6.1.2 应 急 咽 应 反 术 发 展 特点 


dln 跨行 业 的 突 发 安全 事件 应 急 技 术 的 研发 
和 一 体 化 应 急 平 台 的 架构 ,高 度 重视 应 急 平 台 的 风险 分 析 、 信 息 报告 .监测 监控 ,预测 预 
警 综合 分 析 、 辅 助 决 策 .综合 协调 与 风险 评估 等 关键 环节 所 需 的 关键 技术 。 

在 互联 网 出 现 之 前 ,传统 的 应 急 响 应 技术 具有 以 下 特点 : 

(1) 单一 行业 专业、 领域 中 的 应 对 与 处 置 , 面 对 的 事件 复杂 性 相对 较 低 。 
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(2) 可 以 是 对 于 一 个 区 域内 常见 事件 的 应 对 与 处 置 ,认识 角度 比较 单一 。 

(3) 传统 的 多 领域 协同 啊 应 ,应 急 中 需 要 采用 的 技术 手段 和 管理 策略 比较 清晰 。 

现实 中 出 现 各 类 突 发 事件 后 ,立刻 就 会 对 相应 的 应 急 啊 应 技术 提出 更 高 的 要 求 ,来 满 
足 这 些 来 自 现实 的 需求 。 基 于 公共 安全 基础 理论 ,公共 安全 科技 应 当 具 备 三 大 核心 技术 : 
全 方位 无 障碍 危险 源 探测 监测 与 精确 定位 技术 、 多 尺度 动态 准确 预测 与 快速 预警 技术 、 基 
于 危险 性 分 析 的 优化 决策 与 救援 处 置 技术 。 它 们 是 实现 全 面 监控 与 息 动 处 置 、 科 学 预测 
与 快速 预 鸭 ,优化 决策 与 融 效 救援 ,保障 公共 安全 的 重要 技术 手段 。 综 合 而 言 ,现代 应 急 
啊 应 技术 的 发 展 趋势 则 具有 以 下 特点 。 


1. 开展 体系 性 的 建设 与 整合 工作 

在 下 一 代 应 急 啊 应 平台 的 开发 过 程 中 ,更 重视 和 加 强 应 急 系 统 的 体系 性 工作 ,进行 大 
系统 集成 ,要 求 整 合 现场 现场 指挥 中 心 、 后 方 指 挥 中 心 的 资源 和 信息 。 由 于 现 有 应 急 相 
天 系统 在 建立 时 目标 和 需求 有 差别 ,要 整合 成 为 有 机 整体 ,需要 信息 系统 框 届 、 基 础 平台 、 
接口 协议 .信息 交换 .数据 纺 构 和 功能 实现 等 方面 的 统一 标准 。 在 纵 和 同上 ,不 同 层次 的 应 
急 平台 的 功能 和 技术 体系 要 有 一 任性 ,与 统一 指挥 ,分 级 啊 应 、 属 地 为 主 的 应 急 体 制 相 一 
致 ;在 横 丫 上, 应急 平台 应 能 改变 同 级 部 门 间 条 块 分 割 . 独立 作战 的 局 面 , 充 分 体现 一 体 化 


2. 加 大 监测 监控 与 预警 技术 的 应 用 

发 达 国家 重视 运用 先进 的 网 络 技术 .各 感 技术 、 传 感 和 信和 号 处 理 技术 ,建立 和 完善 网 
络 化 的 国家 级 应 急 预 警 系统 。“9. 11” 事 件 后 ,美国 建设 了 互联 网 络 安全 防范 系统 以 及 食 
品 安全 、 外 来 生物 入 侵 、 反 生物 恺 怖 及 动 植物 防疫 等 既 相 对 独立 又 互相 联系 的 预警 和 快速 
反应 体系 ;国外 普遍 重视 对 重大 危险 源 在 线 检测 识别 与 监控 技术 的 应 用 ;日 本 先进 的 地 震 
监控 监测 与 预警 系统 在 震 后 数秒 内 即 可 向 公众 发 布 灾害 现场 信息 ,有 效 辅助 救灾 与 指挥 
决策 ;发 达 国 家 还 积极 发 展 各 种 卫星 、 雷 达 等 蜗 感 探测 手段 ,以 多 种 手段 获取 高 精度 和 高 
时 空 分 辩 率 的 气象 信息 。 


3. 加 强 应 急 平 台 涉及 的 公共 安全 基础 数据 的 综合 汇集 与 分 级 分 类 管理 

公共 安全 应 急 数据 涉及 面 广 , 具 有 跨 部 门 . 跨 领域 的 特点 ,数据 汇集 复 洒 、 困 难 。 美 国 
国家 事故 管理 系统 综合 中 心 (NIMS Integration Center) 制 定 了 公共 安全 数据 资源 的 搜 
集 、 分 类 管理 和 状态 跟 踩 方法 ,并 通过 国土 安全 运行 中 心 来 实施 数据 和 情报 的 汇集 。 相 比 
之 下 ,我 国 还 没有 建立 有 效 的 信息 资源 共享 机 制 ,各 种 应 急 信息 ,缺乏 整合 ,全 国 应 急 管 理 
的 综合 信息 数据 库 和 应 用 系统 仍 没有 形成 体系 , 突 发 公共 事件 发 生 时 ,难以 迅速 收集 、 汇 
总 和 分 析 各 类 有 关 信 息 , 不 利于 为 科学 应 急 提 供 参 考 和 依据 。 为 此 ,上 咀 须 在 应 急 管 理 领 域 
术 方 案 。 

4. 重视 灾害 事故 的 时 空 风 险 预测 、 危险 性 分 析 与 决策 支持 

应 急 平台 的 关键 性 作用 是 对 突 发 公共 事件 的 发 展 、 危 害 以 及 应 急 效果 进行 动态 、 科 
学 ,合理 的 预测 评估 ,为 应 急 决 策 提供 依据 。2005 年 ,卡特 里 娜 由 风 后 ,即使 在 灾害 仿真 
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与 预测 模拟 方面 具有 强大 优势 的 美国 仍然 认为 其 预测 预警 工作 存在 不 足 。 突 发 公共 事件 
随 空间 和 时 间 变 化 规律 的 预测 分 析 以 及 协调 多 方 人 员 .物资 和 信息 实现 动态 优化 决策 是 
政 须 解决 的 重要 问题 ,核心 解决 途径 是 开展 综合 风险 分 析 、 预 测 预警 、 辅 助 决策 和 模拟 仿 
真 等 应 急 技术 的 综合 性 攻关 与 应 用 ,并 与 空间 地 理 信 息 相 融合 ,进行 动态 分 析 、 快 速 评 价 
和 直观 显示 


5. 建设 研究 基地 ,实现 应 急 平台 的 不 断 完善 和 应 急 科技 的 持续 创新 

我 国 在 公共 安全 与 应 急 技 术 领 域 里 然 已 取得 了 初步 成 果 , 但 尚未 形成 整体 的 公共 安 
全 应 急 核 心 技 术 目 主 开 发 能 力 。 相 比 发达 国 家 建立 的 地 震 、 火 灾 \ 气 象 灾害 、 洪 水 等 大 型 
钱 究 基地 和 培训 基地 ,我 国运 今 还 没有 公共 安全 与 应 急 拉 术 领 域 的 国家 级 综合 性 人 研究 机 
构 ,在 该 领域 内 整体 科技 水 平 处 于 较 低 层次 ,无 法 适应 国家 公共 安全 保 隐 与 应 急 科 技 的 重 
大 需求 。 建 设 国 家 级 应 急 科 技 与 工程 饶 究 机 构 ,完善 其 人 研 发 与 测试 的 条 件 和 设施 ,将 为 国 
家 应 急 平 台 体 系 建设 与 运行 ,应急 关键 技术 和 姿 备 研发 以 及 系统 验证 ,应急 技 术 培 训 与 演 
练 等 提供 科技 支撑 。 

总 之 ,应 急 啊 应 技术 的 发 展 要 满足 器 行业 、 专 业 、 领 域 的 突 发 事件 应 对 与 处 理 , 要 满足 
一 个 区 域内 罕见 事件 的 处 置 ,所 需 资 源 需 要 和 其 他 区 域 进 行 协调 。 要 满足 多 部 门 的 协同 
啊 应 ,并 且 很 多 事件 需要 在 平时 业务 关联 性 较 低 的 部 门 则 进行 协作 ,使 应 急 啊 应 变 得 更 加 
快捷 有 效 。 


6.1.3 网 络 安全 应 急 咖 应 概述 


狭义 的 网 络 安全 Cnetwork security) 是 指 计算 机 局 域 网 络 或 互联 网 环境 下 的 网 络 信 
县 系统 的 安全 ,而 广义 的 网 络 安全 则 可 以 沁 化 为 网 络 空间 安全 (cyberspace security) , 涉 
及 国家 社会. 企业、 个 人 等 各 个 层面 。 例 如 和 与 论 熏 情 、 衣 言 诽谤 ,企业 品牌 声誉 .个 人 隐 
私 、 虚 拟 物 品 资产 安全 、 商 业 知 识 产 权 安 全 等 , 既 有 虚拟 空间 的 安全 ,又 有 与 之 关联 的 实体 
空间 的 安全 。 

本 书 所 讲 的 网 络 安全 是 以 网 络 系统 安全 (Cnetwork system security) 为 核心 的 网 络 空 
间 安 全 问题 , 菲 顾 网 络 目 号 安全 与 其 中 的 信息 数据 安全 ,其 内 涵 主 要 是 网 络 系统 安全 、 朱 b 
用 系统 安全 保障 及 相关 安全 业务 管理 。 

网 络 应 急 啊 应 的 活动 应 该 主要 包括 两 个 方面 : 第 一 是 未 十 绸 纱 , 即 在 事件 发 生前 先 
做 好 准备 ,例如 风险 评 佑 安全 计划 制订 和 安全 意识 培训 ,以 发 布 安全 通告 的 方式 进行 预 
车, 以 及 各 种 防范 措施 ;第 二 是 亡羊补牢 , 即 在 事件 发 生 后 采取 的 措施 ,其 目的 在 于 把 事件 
造成 的 损失 降 到 最 低 。 这 些 行动 措施 可 能 来 日 人 ,也 可 能 来 日 系统 。 例 如 ,在 事件 发 生 
后 ,要 进行 系统 备份 .病毒 检测 .后门 检测 .清除 病毒 或 后 门 、 隅 离 、. 系 统 恢 复 、. 调 查 与 妃 踩 、 
入 侵 者 取证 等 一 系列 操作 。 

以 上 两 个 方面 的 工作 是 相互 促 充 的 。 站 和 完 , 事 前 的 计划 和 准备 为 事件 发 生 后 的 啊 应 
动作 提供 了 指导 框架 ,否则 , 啊 应 动作 将 陷 人 混乱 ,可 能 造成 比 事件 本 喘 更 大 的 损失 ;其 
次 ,事后 的 啊 应 可 能 发 现 事前 计划 的 不 足 , 从 而 吸取 教训 ,进一步 完善 安全 计划 。 因 此 ,这 
两 个 方面 应 该 形成 一 种 正 问 反馈 机 制 ,逐步 强化 组 织 的 安全 防范 体系 。 


le 


第 6 章 ”应急 响应 


目前 的 相关 工作 仍 无 法 满足 实际 工作 需求 ,突出 表现 在 两 个 方面 : 一 是 网 络 安 全 应 
急 标 准 体系 不 完善 ;二 是 公共 安全 应 急 基 础 性 通用 性 、 综 合 性 标准 人 研制 不 足 。 


62 网络 安全 应 媚 有 应 管理 


网 络 安 全 应 急 啊 应 的 管理 是 一 个 周而复始 .持续 改进 的 过 程 , 大 致 包 人 沼 以 下 3 个 


(1) 网 络 安全 应 急 啊 应 和 需求 分 析 和 应 急 啊 应 策略 的 确定 。 

(2) 网 络 安全 应 急 响 应 计划 文档 编制 。 

(3) 网 络 安全 应 急 啊 应 计划 的 测试 、 培训、 演练 和 维护 。 

从 管理 角度 看 ,网 络 安全 应 急 啊 应 的 管理 流程 可 分 为 事件 报告 .事件 评估 应急 启 动 、 
应 急 处 置 .后 期 处 置 等 环节 ,如 图 6-1 所 示 。 


事件 报告 

事件 分 类 
事件 评估 

事件 定 级 


应 急 启动 
恢复 顺序 
应 刍 处 置 
Ce | - 网 络 信息 系统 
重建 
后 期 处 置 | 


图 6-1 网 络 安全 应 急 啊 应 管理 流程 


万 外 ,图 6-1 主要 是 针对 政府 部 门 , 大 型 机 构 和 基础 设施 管理 经 萌 单 位 的 流程 ,而 对 
于 企业 网 络 安 全 应 急 啊 应 来 说 ,信息 通报 上报、 披露 等 环 万 可 以 根据 实际 情况 选择 。 事 
件 的 分 类 、 定 级 也 可 以 按照 企业 目 己 制定 的 标准 执行 。 


63 ”网 络 安全 应 急 咽 应 分 类 与 特 扣 


6.3.1 网 络 安全 事件 分 类 
对 网 络 安全 事件 进行 分 类 是 网 络 安全 事件 管理 的 基础 性 工作 。 规 范 合理 的 网 络 安 
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网 络 安 全 运营 


全 事件 分 类 有 利于 促进 网 络 安全 事件 的 信息 共享 和 交流 ,提高 其 通报 和 应 急 响应 的 自动 
化 程度 ,有 利于 在 规范 化 的 网 络 安全 事件 类 别 基础 上 进行 统计 和 分 析 , 从 而 确定 网 络 安 全 
事件 的 严重 性 和 危害 程度 ,进而 为 科学 的 应 急 处 置 做 好 准备 。 

目前 ,我 国 网 络 安全 的 分 类 多 参照 国家 标准 GB/Z 20986 一 2007( 信息 安全 事件 分 类 
指南 ) 执 行 。 

信息 安全 事件 根据 起 因 、 表 现 .结果 等 分 为 有 害 程序 事件 、 网 络 攻击 事件 .信息 破坏 事 
件 、 信 息 内 容 安全 事件 ,设备 设施 故障 ,灾害 性 事件 和 其 他 信息 安全 事件 7 个 基本 类 型 ,每 
个 基本 类 型 包括 若干 个 子 类 。 


1. 有 害 程 序 事件 

有 害 程序 事件 是 指 蓄意 制造 、 传 播 有 害 程序 ,或 是 因 受 到 有 害 程序 的 影 响 而 导致 的 信 
上 县 安全 事件 。 有 害 程 序 是 指 捅 人 信息 系统 中 的 一 段 程序 ,有 害 程 序 危 害 系 统 中 的 数据 .应 
用 程序 或 操作 系统 的 保密 性 完整 性 或 可 用 性 ,或 影响 信息 系统 的 正常 运行 。 

有 害 程 序 事件 包括 计算 机 病毒 事件 、 晴 虫 事件 .特洛伊 木马 事 件 .僵尸 网 络 事件 、 混 合 
攻击 程序 事件 、 网 页 内 藤 恶 意 代 但 事件 和 其 他 有 害 程 序 事 件 7 个子 类 ， 

2. 网 络 攻 击 事件 

网 络 攻击 事件 是 指 通过 网 络 或 其 他 技术 手段 ,利用 信息 系统 的 配置 缺陷 .协议 缺陷 、 
程序 缺陷 或 使 用 暴力 攻击 方式 对 信息 系统 实施 攻击 ,并 造成 信息 系统 异常 或 对 信息 系统 
当前 运行 造成 潜在 危害 的 信息 安全 事件 。 

网 络 攻击 事件 包括 拒绝 服务 攻击 事件 .后 门 攻击 事件 .漏洞 攻击 事件 、 网 络 扫描 禄 听 
事件 .网络 钓鱼 事件 ,干扰 事件 和 其 他 网 络 攻 击 事 件 7 个 子 类 。 


3. 信息 破坏 事件 

于 息 破 坏事 件 是 指 通过 网 络 或 其 他 技术 手段 造成 信息 系统 中 的 信息 被 修改 假冒、 泄 
露 `. 佛 取 等 而 寻 致 的 信息 安全 事件 。 

言 县 破坏 事件 包括 信息 晕 改 事件 、 信 息 假 冒 事件 、 信 息 泄 露 事件 .信息 和 锣 取 事件 .信息 
于 失事 件 和 其 他 信息 破坏 事件 6 个 子 类 。 


4. 信息 内 容 安 全 事件 

证 妃 内 容 安全 事件 是 指 利 用 信息 网 络 发 布 ,传播 危害 国家 安全 社会 稳定 和 公共 利益 
的 内 容 的 信息 安全 事件 。 

信息 内 容 安 全 事件 包括 以 下 4 个子 类 : 

(1) 违反 宪法 和 法 律 、. 行 政法 规 的 信息 安全 事件 。 

(2) 针对 社会 事项 进行 讨论 .评论 ,形成 网 上 敏感 的 导论 热 点 ,出 现 一 定 规模 炒作 行 
为 的 信息 安全 事件 。 

(3) 组 织 串 连 、 烛 动 集会 游行 的 信息 安全 事件 。 

(4) 其 他 信息 内 容 安 全 事件 。 
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5. 设备 设施 故障 

设备 设施 故障 是 指 由 于 信息 系统 自身 故障 或 外 围 保障 设施 故障 而 导致 的 信息 安全 事 
件 ,以 及 人 为 使 用 非 技术 手段 有 意 或 无 意 地 造成 信息 系统 破坏 而 导致 的 信息 安全 事件 ， 

设备 设施 故障 包括 软 硬 件 自身 故障 、 外 围 保障 设施 故障 、 人 为 破坏 事故 和 其 他 设备 设 
施 故 障 4 个 子 类 。 


6. 灾害 性 事件 

灾害 性 事件 是 指 由 于 不 可 抗力 对 信息 系统 造成 物理 破坏 而 导致 的 信息 安全 事件 。 

灾害 性 事件 包括 水 灾 、 人 台风 、 地 震 、 和 雷击 . 去 塌 、. 火 灾 、 慌 怖 黎 击 .战争 等 导致 的 信息 安 
全 事件 。 


6.32 网 络 安全 应 急 响 应 分 类 


网 络 安全 应 急 啊 应 可 以 从 多 个 角度 进行 分 类 。 

首先 ,根据 我 国 网 络 安 全 事件 的 分 类 分 级 标准 ,将 网 络 安全 应 急 啊 应 分 成 4 级 ,特别 
重大 的 是 工 级 ,重大 的 是 工 级 , 较 大 的 是 下 级 ,一 般 的 是 区 级 。 

其 次 ,根据 互联 网 网 络 安全 事件 的 分 类 ,也 可 以 相应 地 把 网 络 安 全 应 急 啊 应 划分 
为 7 类 。 

当然 ,还 可 以 根据 网 络 安全 责任 主体 的 不 同 , 将 网 络 安全 应 急 啊 应 的 类 型 分 为 大 型 活 
动 项 目 期 间 网 络 安全 应 急 啊 应 .国家 层面 网 络 安全 应 急 啊 应 .政府 部 门 层面 网 络 安全 应 急 
的 企业 组 织 层面 网 络 安全 应 急 啊 应 、 无 责任 主体 突 发 事件 类 网 络 安全 应 急 响 应 五 大 类 

。 本 书 主要 面向 的 是 企业 组 织 层面 网 络 安全 应 急 啊 应 。 


6.3.3 网络 安 全 应 急 员 应 的 特点 


企业 用 户 是 互联 网 的 主体 用 户 之 一 ,互联 网 环境 下 的 不 安全 因素 直接 影响 到 企业 的 

息 网 络 。 同 时 ,企业 内 网 安全 也 会 遭遇 突 发 事件 。 例 如 ,2015 年 5 月 某 上 市 企业 服务 
器 。 疑似 数据 库 物理 删除 ”事件 给 该 企业 囊 来 了 恶劣 的 负面 影响 。 

企业 内 部 网 络 的 安全 对 企业 的 知识 产权 保护 .商业 机 蜜 管控 有 非常 高 的 要 求 , 因 此 ， 
如 果 出 现 重 大 罕 发 网 络 安全 事故 而 不 能 及 时 响应 .妥善 处 理 , 企 业 将 可 能 遭遇 灭顶 之 灾 。 
企业 网 络 安全 应 急 啊 应 工作 所 面临 的 主要 对 象 及 特点 如 下 : 

(1) 企业 网 络 安全 应 急 啊 应 首先 要 关注 漏洞 。 企 业 网 络 最 关注 的 是 系统 或 软件 漏洞 
引发 的 网 络 与 信息 安全 问题 。 漏 洞 是 黑客 人 侵 与 渗透 的 主要 "通道 ?之 一 ,企业 既 要 应 对 
程序 开发 导致 的 漏洞 ,也 要 应 对 协议 架构 或 系统 管理 流程 上 的 漏洞 ,还 要 应 对 硬件 上 的 

(2) 企业 还 应 关注 其 他 网 络 攻击 事件 的 应 急 啊 应 ,如 信息 泄露 .分 布 式 拒 绝 服 务 攻 
击 .病毒 木马 等 。 

(3) 对 于 跨 区 域 大 型 企业 ,由 于 其 内 部 网 络 的 复杂 度 高 ,例如 各 地 分 部 ,分 支 办 事 机 
构 之 间 都 要 通过 网 络 互 联 , 使 企业 信息 系统 安全 应 急 啊 应 复杂 度 、 隐 患 排 查 难 度 大 大 
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网 络 安全 运营 
6.4 网 络 安全 应 急 员 应 能 力 建 设 与 流程 


6.4.1 网 络 安全 应 急 响应 能 力 建设 


根据 在 网 络 安全 管理 工作 中 积 系 的 实践 经 验 , 建 立民 好 的 网 络 安 全 应 急 你 障 体系 ,使 
其 能 够 真正 有 效 地 服务 于 网 络 安全 保障 工作 。 应 该 重点 加 强 以 下 几 方 面 的 能 力 。 


1. 绽 合 分 析 与 汇聚 能 力 

网 络 安全 领域 的 应 急 保 障 有 其 目 身 较为 明显 的 特点 ,其 对 象 灵活 多 变 , 信 息 复 淋 海 
量 , 难 以 完全 徘 人 力 进 行 综合 分 析 决 策 , 需 要 依 菲 日 动 化 的 现代 分 析 工 具 , 实 现 对 不 同 来 
源 的 海量 信息 的 目 动 采集 、 识 别 和 关联 分 析 , 形 成 态 努 分 析 秆 宋 , 为 指挥 机 构 和 专家 提供 
决策 依据 。 完 整 .高 效 、 智 能 化 是 满足 现实 需求 的 必然 选择 。 因 此 ,应 有 效 建 立 以 信息 汇 
聚 ( 采 集 、. 接 人 、 过滤 、 范 化 .归并 )、 管 理 ( 存 储 、 利 用、 管理 )、 分 析 ( 基 础 分 析 、 统 计 分 析 . 业 
务 关 联 性 分 析 .技术 关联 性 分 析 ) 、 发 布 (多 维 展现 ) 等 为 核心 的 完整 能 力 体系 ,在 重大 信息 
安全 事件 发 生 时 ,能 够 迅速 汇集 各 类 最 新 信息 ,形成 易于 辨识 的 态 努 分 析 结 采 , 最 大 程度 


2. 综合 管理 能 力 

伴随 看 互联 网 的 飞速 发 展 ,网 络 安全 领域 相关 的 技术 手段 不 断 翻新 ,对 应 急 指 挥 的 能 
力 ` 效 率 、 准 确 程度 要 求 更 高 。 在 实现 网 络 与 信息 安全 应 急 指 挥 业 务 的 过 程 中 ,应 注重 用 
言 奶 化 手段 建立 完整 的 业务 流程 ,注重 建立 集 信息 系统 安全 综合 管理 \ 动 态 监 测 、 预 鸭 、 应 
急 啊 应 为 一 体 的 网 络 安全 综合 管理 能 力 。 

要 切实 认识 到 数据 资源 管理 的 重要 性 ,结合 日 第 应 急 演 练 和 省 理工 作 , 做 好 应 急 资 源 
库 .专家 库 、 和 案例 库 .预案 库 等 重要 数据 资源 的 整合 ,管理 工作 ,在 应 急 处 理 流 程 中 ,能 够 依 
托 目 动 化 手段 推送 关联 性 信息 ,不 断 丰 军 数 据 黄 源 。 


3. 处 理 信息 系统 安全 日 党 管理 与 应 急 啊 应 关系 的 能 力 

网 络 安全 日 第 管理 与 应 急 啊 应 有 较为 明显 的 区 别 , 其 主要 体现 在 以 下 3 点 : 

(1) 业务 类 型 不 同 。 日 第 管理 工作 主要 包括 对 较 小 的 信息 安全 事件 进行 处 置 ,组 织 
开展 应 急 演 练 工作 等 ,而 应 急 啊 应 工作 一 般 面 对 较 严 重 的 信息 安全 事件 ,需要 根据 国家 政 
策 要 求 进行 必要 的 上 报 , 并 开展 或 配合 开展 专家 联合 研判 .协同 处 置 .资源 保障 、 应 急 队 伍 
管理 等 工作 。 

(2) 啊 应 流程 不 同 。 在 日 党 管理 工作 中 ,对 较 小 事件 的 处 理 在 流程 上 要 求人 简单 快速 ， 
研判 .处置 等 工作 由 少量 专业 人 员 完 成 即 可 。 而 应 急 响 应 工作 需要 有 信息 上 报 、 联 合 审 
批 \ 分 类 下 发 等 重要 环节 , 啊 应 流程 较为 复杂 。 

(3) 涉及 范围 不 同 。 在 应 急 啊 应 工作 状态 下 ,严重 的 信息 安全 事件 波及 范围 广 , 需 要 
较 多 的 涉 事 单位 .技术 文 撑 机 构 和 个 人 进行 有 效 协 同 ,也 需要 调集 更 多 的 应 急 资 源 进 行 保 
障 , 其 涉及 范围 远大 于 日 常 工 作 状 态 。 
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然而 ,网 络 安全 日 常 管理 与 应 急 响 应 工作 不 可 简单 割裂 。 例 如 ,两 者 都 需要 建立 在 对 
快速 变化 的 信息 进行 综合 分 析 、 研 判 .辅助 决策 的 基础 之 上 ,拥有 很 多 相同 的 信息 来 源 和 
自动 化 汇聚 、 分 析 手 段 。 同 时 ,日 常 工 作 中 的 应 急 演练 管理 预案 管 理 等 工作 本 身 也 是 应 
急 啊 应 能 力 建 设 的 一 部 分 。 因 此 ,在 流程 机 制 设 计 、 自 动 化 平台 支撑 等 方面 ,应 充分 考虑 
两 种 工作 状态 的 联系 , 除 对 重大 突 发 信息 安全 事件 应 急 啊 应 业务 进行 能 力 设计 和 实现 外 ， 
还 应 注重 强化 对 日 常 业 务 的 支撑 能 力 , 以 最 大 程度 地 发 挥 管理 机 构 的 能 力 和 效力 。 

4. 协同 作战 能 力 

研判 .处置 重大 网 络 信息 安全 事件 ,需要 多 个 单位 、 部 门 和 应 急 队 伍 进行 支撑 和 协调 ， 
需要 建设 恨 好 的 通信 保障 基础 设施 ,建立 顺畅 的 信息 沟通 机 制 ， 并 通过 各 圣 第 开展 应 急 演 练 
工作 ,使 各 单位 ,个 人 能 够 在 面 对 不 同类 型 的 事件 时 ,熟悉 自己 所 承担 的 应 急 啊 应 角色 , 熟 
练 开 展 协同 保障 工作 。 


6.4.2 网 络 安全 应 急 啊 应 流程 


随 春 国家 信息 化 建设 进程 的 加 速 ,计算 机 信息 系统 和 网 络 已 经 成 为 重要 的 基础 设施 。 
随 春 网 络 安全 组 件 的 不 断 增 多 ,网络 边 界 不 断 扩 大 ,网 络 安全 管理 的 难度 日 趋 增 大 ,各 种 
潜在 的 网 络 信 息 危 险 因 素 与 日 俱 增 。 虽然 网 络 安 全 的 保障 技术 也 在 快速 发 展 ,但 实践 证 
明 ,现实 中 无 论 多 么 完备 的 安全 保护 也 无 法 抵御 所 有 危险。 因此 ,完善 的 网 络 安全 体系 要 
求 在 保护 体系 之 外 必须 建立 相应 的 应 急 啊 应 体系 。 

为 科学 合理 .有 序 地 处 置 网 络 安全 事件 ,本 书 采 纳 了 业内 通常 使 用 的 PDCERE 模 
型 ,如 图 6-2 所 示 。PDCEREF 模型 将 应 急 啊 应 分 成 准备 (Preparation) 、 检测 (Detection ) 、 
抑制 (Containment) ,根除 (Eradication) ,恢复 (Recovery)、 跟 跨 (Follow-up)6 个 阶段 的 工作 ， 
并 根据 网 络 安全 应 急 啊 应 总 体 策略 对 每 个 阶段 定义 了 适当 的 目的 ,明确 了 啊 应 顺序 和 过 程 。 


山 准 备 阶段 


© 跟踪 阶段 0 检测 阶段 


加 恢复 阶段 图 抑制 阶段 


中 根除 [阶段 


图 6-2 应 急 啊 应 流程 的 PDCERF 模型 
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1. 准备 阶段 

准备 阶段 的 主要 任务 是 选择 .安装 和 熟悉 应 急 啊 应 过 程 中 的 协助 工具 及 有 助 于 收集 
和 维护 与 人 侵 相 关 数 据 的 工具 ,为 所 有 的 应 用 软件 和 操作 系统 创建 启动 盘 或 随 计算 机 发 
行 的 运行 启动 存储 介质 。 用 可 靠 的 启动 盘 ( 或 CD-ROM) 让 计算 机 以 已 知 的 预先 设 定 的 
配置 重新 启动 ,这 在 相当 程度 上 能 保证 被 入 侵 后 的 文件 .程序 以 及 数据 不 会 加 载 到 系 
统 中 。 

为 了 防止 不 可 预期 的 变化 ,在 试验 计算 机 上 安装 可 信任 版 本 的 系统 ;为 了 避免 有 意 或 
无 意 的 破坏 ,所 有 的 介质 应 该 处 于 硬件 写 保 护 状 态 。 

建立 一 个 包含 所 有 应 用 程序 和 不 同 版 本 的 操作 系统 的 安全 补丁 库 。 确 保 备 份 程序 足 
以 使 系统 从 任何 损害 中 人 恢复。 建立 资 源 工 具 包 并 准备 相关 人 硬件 设备 资源 工具 包 , 包 含 在 
应 急 啊 应 过 程 中 可 能 要 使 用 的 所 有 工具 。 硝 保 测 试 系统 正确 配置 旦 可 用 在 任何 分 析 或 测 
试 中 。 使 用 被 人 侵 的 系统 都 可 能 导致 这 些 系 统 进 一 步 的 骏 露 和 损害 。 已 被 人 侵 的 系统 产 
生 的 任何 结果 都 是 不 可 徘 的 。 此 外 ,采用 这 样 的 系统 或 许 会 由 于 恶意 程序 而 骏 露 正在 进 
行 的 测试 。 使 用 物理 和 逻辑 上 与 任何 运行 的 系统 和 网 络 隔离 的 测试 系统 和 测试 网 络 。 选 
择 将 被 人 侵 的 系统 移 到 测试 网 络 中 ,并 且 部 署 新 安装 的 打 过 补丁 的 安全 的 系统 ,以 便 继续 
运行 。 在 完成 分 析 后 ,清除 所 有 的 磁盘 ,这 样 可 以 确保 任何 残留 文件 或 恶意 程序 不 影响 将 
来 的 分 析 或 任何 正在 测试 系统 上 进行 的 工作 ,或 者 残留 文件 或 恶意 程序 无 意 中 被 传 到 其 
他 运行 系统 中 ,这 在 测试 系统 还 有 其 他 用 途 时 是 很 关键 的 。 备 份 所 有 被 分 析 的 系统 ,并 保 
护 分 析 结 果 ,以 备 将 来 进一步 的 分 析 。 


2. 检测 阶段 

检测 阶段 的 主要 任务 是 在 发 现 可 疑 迹象 或 问题 发 生 后 进行 一 系列 初步 处 理工 作 , 分 
析 所 有 可 能 得 到 的 信息 ,以 确定 人 侵 行 为 的 特征 。 

一 且 人 侵 检 测 机 制 已 经 检测 到 了 人 和信 侵 ,就 需要 确定 系统 和 数据 遭受 人 侵 的 程度 。 需 
要 权衡 收集 尽 可 能 多 信息 的 价值 和 入 侵 者 察觉 他 们 的 活动 被 发 现 的 风险 之 加 的 关系 。 一 
些 人 侵 者 在 被 发 现 后 会 试图 删除 他 们 的 所 有 活动 雏 迹 ,进一步 破坏 系统 ,这 会 使 分 析 无 法 
进行 下 去 。 

备份 并 隅 离 被 人 侵 的 系统 ,进一步 查找 其 他 系统 上 的 人 侵 猴 迹 。 检 查 防 火 增 .网 络 监 
视 软 件 以 及 路 由 器 的 日 志 , 确 定 攻击 者 的 人 侵 路 径 和 方法 ,确定 人 侵 者 进入 系统 后 的 
活动 。 

在 当前 缺少 安全 预警 机 制 的 情况 下 ,网络 安 全 的 应 急 啊 应 活动 主要 还 是 立足 于 事 中 
或 事后 的 确认 ,而 且 , 即 使 是 在 事 中 或 事后 ,也 不 一 定 发 现存 在 的 安全 问题 ,往往 都 是 在 已 
经 造成 破坏 之 后 , 即 发 生 了 对 系统 可 用 性 ,完整 性 和 保密 性 造成 明显 破坏 的 行为 或 者 是 有 
用 户 投 诉 后 , 才 会 去 了 解 发 生 的 安全 问题 。 

一 般 典 型 的 事故 现象 如 下 : 

(1) 账号 被 盗用 。 

(2) 出 现 很 多 骚扰 性 的 垃圾 信息 。 

(3) 业务 服务 功能 失效 。 


ee 
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(4) 业务 内 容 被 明显 算 改 。 
(5) 系统 朋 沉 ,资源 不 足 。 


3. 抑制 阶段 

抑制 阶段 的 主要 任务 是 限制 事件 扩散 和 影响 的 范围 。 抑 制 举 措 往往 会 对 合法 业务 流 
量 造成 影响 ,最 有 效 的 抑制 方式 是 尽 可 能 地 笔 近 攻击 的 发 起 端 实施 抑制 。 但 是 ,一般 情 况 
下 攻击 包 都 会 伪造 源 IP 地 址 ,在 互联 网 这 样 的 大 型 网 络 环境 中 往往 难以 确定 攻击 流 的 真 
正 来 源 , 因 此 靠近 攻击 发 起 端 实施 面向 整个 互联 网 的 抑制 操作 ,目前 的 抑制 技术 依然 不 

第 见 的 抑制 方式 如 下 : 

(1) 关闭 受害 的 系统 。 

(2) 断 开 网 络 。 

(3) 修改 防火 墙 或 路 由 带 的 过 滤 规 则 。 

(4) 封锁 或 删除 被 攻破 的 登录 账号 。 

(5) 关闭 可 被 攻击 者 利用 的 服务 功能 。 


4. 根除 阶段 

根除 阶段 的 主要 任务 是 通过 事件 分 析 查 明 事 件 危 害 的 方式 ,并 且 拿 出 清除 危害 的 解 

对 事件 的 确认 仅 是 初步 的 事件 分 析 。 事 件 分 析 的 目的 是 找 出 问题 出 现 的 根本 原因 。 
在 事件 分 析 的 过 程 中 主要 有 主动 和 被 动 两 种 方式 。 

主动 方式 是 杀 用 攻击 诱骗 技术 ,通过 让 攻击 者 侵入 一 个 受 监 视 的 存在 漏洞 的 系统 ,下 
接 观 察 攻击 者 所 采用 的 攻击 方法 。 

被 动 方式 是 根据 系统 的 异 币 现象 去 追查 问题 的 根本 原因 。 被 动 方式 会 综合 运用 下 面 
的 方法 : 

(1) 系统 异常 行为 分 析 。 这 是 在 维护 系统 及 其 环境 的 特征 白板 的 基础 上 ,通过 与 正 
常情 况 进 行 比较 , 找 出 攻击 者 的 活动 轨迹 以 及 攻击 者 在 系统 中 植 人 的 攻击 代码 。 

(2) 日 志 审 计 。 通 过 检查 系统 及 其 环境 的 日 志 信 息 和 告警 信息 来 分 析 是 否 有 攻击 者 
行为 或 者 有 哪些 违规 行为 。 

(3) 入 侵 监 测 。 对 于 还 在 进行 的 攻击 行为 ,入 侵 监测 系统 通过 捕获 并 检测 进出 系统 
的 数据 流 ,利用 攻击 特征 数据 库 , 可 以 在 事件 分 析 过 程 中 帮助 安全 人 员 定 位 攻击 的 类 型 。 

(4) 安全 风险 评估 。 无 论 是 利用 系统 漏洞 进行 的 网 络 攻击 还 是 感染 病毒 ,都 会 对 系 
统 造成 破坏 ,通过 漏洞 扫描 工具 或 防 病毒 软件 等 安全 风险 评估 工具 扫 朱 系统 的 漏洞 或 病 
毒 , 可 以 有 效 地 帮助 安全 人 员 和 定位 攻击 事件 。 

在 实际 的 事件 分 析 过 程 中 ,往往 会 综合 采用 主动 和 被 动 的 事件 分 析 方 法 。 特 别 是 对 
于 在 网 上 自动 传播 的 攻击 行为 , 当 采 用 被 动 方 式 难以 分 析出 事件 的 根本 原因 的 时 候 , 采 用 
主动 方式 往往 会 很 有 效 。 

最 后 ,改变 全 部 可 能 受到 攻击 的 系统 的 口令 ,重新 设置 被 人 侵 系 统 ,消除 所 有 的 入 侵 
路 径 , 从 最 初 的 配置 中 恢复 可 执行 程序 (包括 应 用 服务 ) 和 二 进 制 文件 ,检查 系统 配置 , 确 
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定 是 否 有 未 修复 的 系统 和 网 络 漏洞 并 对 其 进行 修复 ,限制 网 络 和 系统 的 又 露 程度 ,改善 保 
护 机 制 , 改 善 检测 机 制 。 


5. 恢复 阶段 

恢复 阶段 的 主要 任务 是 把 馈 破 坏 的 信息 彻底 地 还 原 到 正常 运作 状态 。 确 定 使 系统 恢 
复 正 常 的 需求 和 时 间 表 ,从 可 信 的 备份 介 夺 中 恢复 用 尸 数 据 , 局 动 系统 和 应 用 服务 ,恢复 
系统 网 络 连接 ,验证 恢复 系统 ,观察 其 他 的 扫 搬 探测 等 可 能 表示 攻击 者 髓 次 入 侵 的 信号 。 
一 般 来 说 ,要 成 功 地 恢复 被 破坏 的 系统 ,需要 维护 干净 的 备份 系统 ,编制 并 维护 系统 恢复 
的 操作 手册 ,而且 在 系统 重 闪 后 需要 对 系统 进行 全 面 的 安全 加 固 。 


6. 跟踪 阶段 

跟踪 阶段 的 主要 任务 是 : 回顾 并 整合 应 急 响 应 过 程 的 相关 信息 ,进行 事后 分 析 总 结 ; 
修订 安全 计划 策略 ,程序 并 进行 训练 ,以 防止 再 次 遭受 人 侵 ; 基 于 入 侵 的 严重 性 和 影响 ， 
确定 是 否 进 行 新 的 风险 分 析 ; 给 系统 和 网 络 资产 制定 一 个 新 的 目录 清单 ;如 果 需 要 ,参与 
调查 和 起 诉 。 这 一 阶段 的 工作 对 于 准备 阶段 工作 的 开展 起 到 重要 的 支持 作用 。 

跟踪 阶段 的 工作 主要 包括 3 个 方面 : 

(1) 形成 事件 处 理 的 最 终 报告 。 

(2) 检查 应 急 啊 应 过 程 中 存在 的 问题 ,重新 评估 和 修改 应 急 啊 应 过 程 。 

(3) 评 佑 应急 啊 应 人 员 在 事件 处 理 上 存在 的 缺陷 ,事后 进行 有 针对 性 的 培训 。 


65 ” 网络 安 全 应 急 咽 应 组 织 体系 


6.5.1 网 络 安 全 应 急 啊 应 组 织 体系 一 般 模 型 


一 般 情 况 下 , 企 事 业 单 位 的 网 络 安全 应 急 啊 应 工作 和 网 络 信 息 安 全 保障 工作 由 同一 
个 团体 负责 ,在 组 织 上 是 合 一 的 。 网 络 安全 应 急 啊 应 工作 的 组 织 体 系 包 括 内 部 协调 和 外 
部 协调 两 个 方面 。 内 部 协调 的 对 象 主体 是 机 构 或 企业 内 部 组 建 的 网 络 安全 应 急 啊 应 领导 
小 组 (或 决策 中 心 )、 应 急 啊 应 办 公 室 、 相 关 业 务 线 或 受 影响 的 业务 、 各 专项 保障 组 以 及 技 
术 专 家 组 .咨询 顾问 组 市 场 公关 组 ;外 部 协调 的 对 象 主 体 包括 各 相关 政府 部 门 .业务 关 联 
方 、 供 应 商 ( 包 括 相 关 的 设备 供应 商 、 软 件 供 应 商 、 系 统 集成 商 、 服 务 提供 商 等 )、 专 业 安全 
服务 厂商 等 。 

值得 注意 的 是 ,如 采 机 构 或 企业 的 网 络 安全 突 发 事件 和 经 稼 业务 的 合作 方 、, 关 联 方 有 
密切 关系 ,那么 应 急 啊 应 办 公 室 需 考 虑 与 合作 方 、 关 联 方 的 协调 ,双方 的 法 人 主体 地 位 是 
平等 的 ,应 保持 密切 沟通 。 其 次 ,由 于 通常 企业 或 机 构 评 乏 高 级 安全 人 才 , 在 出 现 重大 安 
全 事件 之 后 ,还 要 考虑 引入 专业 安全 厂商 的 力量 ,因为 专业 安全 厂商 的 安全 专家 应 对 局 级 
别 的 网 络 黑 客 行为 和 网 络 攻击 更 妄 有 经 验 , 在 处 理工 具 与 策略 上 更 具 优 势 。 

万 外 ,之 所 以 在 机 构 或 企业 的 网 络 安全 应 急 啊 应 领导 小 组 中 设置 市 场 公 天 职能 ,是 因 
为 在 新 媒体 日 趋 普及 的 传播 环境 下 , 企 事业 单位 越 来 越 重视 公共 导论 的 传播 ,一 旦 内 部 网 
络 发 生 安全 事件 ,将 可 能 会 引起 公共 与 论 的 关切 。 特 别 是 拥有 大 量 用 户 的 企业 ,一 般 会 在 
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官方 妹 体 上 己 公 众 互 动 ,发 布 企业 应 急 啊 应 的 动态 信息 等 。 企 业 市 场 公关 行为 事 关 企业 
形象 和 声誉 ,因此 将 市 场 公关 职能 放 在 决 岳 中 心 层面 。 
通用 的 网 络 安全 应 急 啊 应 组 织 体系 如 图 6-3 所 示 。 


机 构 或 企业 网 络 安 全 应 急 啊 应 领导 小 组 (决策 中 心 ) 


技术 专家 组 ”| | 顾问 专家 组 | | 公共 与 论 /市 场 公关 组 


开导 横 半 


相关 业务 线 或 受 ~、 末 略 指导 Wa | IT 技术 支撑 


影响 的 业务 
ee | | Cu 
组 (协调 中 心 ) 数据 灾 备 保障 组 
基础 设施 保障 组 
”网 络 保障 组 


内 部 协调 方面 ,网 络 安全 应 急 领导 小 组 对 网 络 安全 应 急 工 作 进 行 统 一 指挥 ,应 急 啊 应 
办 公 室 具体 负责 执行 。 例 如 ,应急 啊 应 办 公 室 负责 各 类 上 报信 息 的 收集 和 整体 态势 的 研 
判 .信息 的 对 外 通报 等 。 网 络 安 全 事件 影响 了 机 构 或 企业 的 某 些 业 务 ,使 之 无 法 正常 运行 
甚至 瘫 并 , 需 要 业务 线 相关 人 员 参 与 应 急 啊 应 工作 ,配合 查 明 原因 ,恢复 业务 。 各 专项 保 
障 组 在 应 急 啊 应 办 公 室 的 领导 下 ,承担 网 络 系统 安全 应 急 人 处 置 与 保障 工作 。 技 术 专 家 组 
的 任务 是 指导 技术 实施 人 员 采 取 有 效 技 术 措 施 , 及 时 诊断 网 络 安全 事故 ,及 时 啊 应 。 兢 问 
专家 组 主要 提供 总 体 或 专项 策略 文 持 。 市 场 公关 组 负责 对 外 的 消息 发 布 以 及 应 急 处 置 情 
况 的 公开 沟通 与 回应 。 

在 外 部 协调 方面 ,应 急 啊 应 办 公 室 需要 加 政府 相关 部 门 及 时 通报 情况 ,并 沟通 应 急 处 
置 事宜 。 业 务 关 联 方 .供应 商 也 是 外 部 协调 对 象 。 通 常 来 说 ,专业 安全 服务 厂商 也 是 供应 
商 的 一 种 ,但 是 从 近年 来 的 网 络 安全 应 急 啊 应 实践 看 ,专业 安全 服务 厂商 的 作用 越 来 越 
大 ,也 越 来 越 受 到 各 方 的 重视 ,因此 在 一 般 模型 中 将 其 单独 列 出 。 

需要 强调 的 是 ,网 络 安全 应 急 啊 应 办 公 室 是 应 急 啊 应 执行 的 关键 组 织 保障 ,其 负责 人 
需要 有 足够 的 协调 能 力 , 还 要 有 足够 的 权力 ,才能 调动 内 部 部 门 、 主 营业 务 领域 的 协同 力 
量 。 机 构 或 企业 内 部 的 专家 咨询 小 组 和 技术 咨询 小 组 对 网 络 安全 应 急 啊 应 的 制度 流程 建 
设 完 善 有 重要 文 撑 作 用 ,在 应 急事 件 啊 应 上 也 发 挥 参谋 作用 ,并 且 需 要 和 保障 层 的 软件 供 
应 商 .设备 供应 商 、 系统 集成 商 . 服 务 提 供 商 以 及 专业 安全 服务 厂商 的 相关 技术 文 持 人 员 
密切 配合 。 
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6.5.2 网 络 安全 应 急 啊 应 内 部 组 织 架 构 与 耿 动 


1. 网 络 安全 应 急 啊 应 的 内 部 组 织 染 构 
在 实践 中 ,网 络 安 全 应 急 啊 应 组 织 架 构 通 第 划分 为 两 个 中 心 和 两 个 组 ,两 个 中 心 分 别 
是 应 急 啊 应 指挥 协调 中 心 和 信息 共 至 与 分 析 中 心 , 两 个 组 分 别 是 应 急 管理 组 和 专业 应 


Y 急 啊 应 指挥 协调 中 心 处 于 系统 的 最 高 层 。 它 一 方面 负责 协调 体系 的 正常 运行 , 维 

护 信 息 共 至 与 分 析 中 心平 台 ; 男 一 方面 也 是 系统 联动 的 控制 中 心 ,管理 并 协调 各 个 应 急 啊 

应 组 。 应 急 啊 应 指挥 协调 中 心 负 责 整 个 应 急 啊 应 体系 的 核心 任务 ,如 信息 安全 事件 分 类 、 
应 急 啊 应 .预案 管理 等 。 

信息 共 至 与 分 析 中 心 是 整个 组 织 架 构 的 核心 , 它 负 贡 与 各 级 组 织 进 行 信 息 共 至 和 交 


换 , 其 主要 功能 包括 信息 收集 整理 .事件 跟踪 .预警 发 布 等 。 
应 急 管 理 组 是 整个 体系 及 联动 运作 的 总 协调 机 构 ,包括 技术 研发 与 策略 制定 组 .专家 
咨询 组 等 。 


专业 应 急 组 负责 直接 应 对 安全 事件 。 

客户 是 直接 面 对 安 全 事件 的 实体 。 客 户 一 方面 可 实施 必要 的 防范 措施 ,必要 时 与 其 
他 实体 进行 联动 ,并 接受 专业 应 急 组 提供 的 服务 ;万 一 方面 也 要 及 时 上 报 目 己 获取 的 安全 
事件 信息 。 


2. 网 络 安全 应 急 啊 应 组 织 的 联动 

专家 顾问 组 ,应急 小 组 .监测 预警 机 构 和 指挥 协调 机 构 间 的 联动 既 依 赖 于 安全 事件 ， 
也 依赖 于 安全 策略 的 调整 和 安全 管理 职责 的 变更 。 联 动 啊 应 工作 流程 可 以 是 应 急 预 案 中 
的 规定 流程 ,也 可 以 是 指挥 协调 机 构 的 临时 指令 。 联 动 的 目的 是 保证 应 急 响 应 工作 的 有 
序 、 高 效 地 运行 。 

指挥 协调 机 构 的 任务 是 : 负责 应 应 急 啊 应 的 指 挥 协调 工 作 , 指 挥 监测 预 敬 机构、 应急 
小 组 和 专家 顾问 组 对 突 发 的 网 络 安全 事件 进行 应 急 人 处置; 协调 各 组 织 制订 ,修订 相关 的 应 
急 预 案 ; 组 织 应 急 预 案 演 练 ;负责 安全 宣传 教 育 与 培训 

监测 预 获 机 构 负 责 监测 预警 和 风险 评估 控制、 隐患 排查 整改 工作 ,为 整个 组 织 提供 实 
时 监测 及 预警 信息 共享 服务 。 

应 急 小 组 承担 应 急 值 守 和 事件 收集 .分 析 . 上 报 工 作 ,按照 预案 和 指挥 协调 机 构 的 指 
令 执 行 系统 升级 、 攻 击 遏 制 和 杜绝 ,恢复 重建 等 处 理工 作 。 专 家 顾问 组 根据 指挥 协调 机 构 
的 要 求 为 应 急 啊 应 提供 政策 ,法律 .技术 等 方面 的 咨询 与 建议 ,提供 安全 教育 .人 员 培 训 等 
服务 ,并 根据 监测 预警 机 构 的 事件 报告 ,分 析 事 件 的 发 展 趋 势 , 为 应 急 小 组 提供 处 置 措施 
和 恢复 方案 。 


Ci 
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6.5.3 网络 安全 应 急 员 应 关键 运 行 机 制 


网 络 安全 应 急 啊 应 组 织 体系 建立 起 来 之 后 ,最 重要 的 就 是 建立 高 效 的 运行 机 制 ， 2 
应 急 措 施 顺利 实施 。 根 据 业 界 实 践 过 程 中 积累 的 经 验 , 可 以 总 结 出 以 下 6 个 主要 运 
机 制 。 

1. 及 时 组 建 应急 啊 应 办 公 室 ,协调 有 力 

尽早 建立 网 络 安全 应 急 啊 应 办 公 室 ,做 好 组 织 保 证 ,准备 好 预案 ,并 定期 演练 ,积累 实 
战 能 力 。 应 急 啊 应 办 公 室 的 负责 人 要 具备 过 便 的 协调 能 力 ,同时 也 需要 有 足够 的 权力 , 方 

能 对 组 织 内 各 业务 线 、 职 能 部 门 等 人 、 财 物资 源 加 以 调度 ,保障 应 急 啊 应 顺利 执行 。 

2. 充分 调动 组 织 内 部 资源 ,协力 排查 

应 急 啊 应 部 门下 设 的 各 技术 线 以 及 组 织 机 构 内 部 各 业务 线 的 资源 (包括 设备 、 网 络 、 
数据 .安全 保障 、 软 件 技术 等 各 方 力 量 ) 都 需 有 效 参 与 ,协同 作战 ,梳理 可 用 线索 或 应 急 啊 
应 实施 的 突破 点 ,从 而 实现 迅速 排查 .定位 网 络 安 全 问题 。 


3. 寻求 外 部 支持 
外 部 的 文 持 ,包括 专业 设备 及 服务 供应 商 、 相关 的 政府 组 织 机 构 . 业务 合作 方 或 关联 
方 ,都 需要 保持 畅通 的 沟通 ,保证 事件 调查 顺利 推进 。 


4. 重大 敏感 问题 由 领导 小 组 决策 

必要 时 ,组 建 高 层 挂帅 的 领导 小 组 。 可 视 情 况 而 定 。 例 如 ,事态 发 展 超 过 应 急 啊 应 办 
公 室 职能 范围 时 ,可 设立 网 络 安全 应 急 啊 应 工作 领导 ope pair 
导 人 员 担 任 , 从 更 高 层面 统筹 网 络 安全 应 急 啊 应 工作 的 组 织 协调 。 例 如 ,高 层 领 与 决 
策 ,提供 优先 资源 ,进行 个 别 协调 。 此 外 ,领导 小 组 还 可 以 就 一 些 应 open 
出 权威 决策 ,避免 中 层 领导 人 员 出 现 重大 失误 等 。 


5. 成 立 顾问 小 组 

顾问 小 组 包括 决策 文 持 专 家 .业务 管理 专家 、 安 全 实践 专家 ,他 们 可 以 帮助 组 织 宏观 
把 握 一 些 应 急 措施 的 部 署 ,对 大 的 外 部 形势 进行 判断 ,优化 个 别 问题 的 流程 ,还 可 以 为 一 
线 人 员 直 接 提 供 建议 、 现 场 指 导 。 


6. 适时 引入 专业 力量 

专业 技术 顾问 小 组 可 以 弥补 机 构 或 企业 内 部 专业 力量 不 足 的 缺点 , 毕 苋 内 部 设置 融 
级 安全 人 才 在 成 本 和 管理 上 虱 会 有 障碍 ,因此 需要 外 部 拥有 丰 曙 经 验 的 专业 网 络 安 全 人 
才 加 入 ,也 需要 相应 地 调动 .利用 机 构 内 部 的 技术 人 员 团 队 , 保 证 应 急 啊 应 任务 的 高 效 推 
进 。 特 别 重要 的 是 引入 专业 的 网 络 安 全 服务 厂商 的 人 员 和 技术 支持 ,毕竟 网 络 安全 服务 
厂商 的 人 员 最 为 专业 , 实 成 经 验 也 最 丰 嘿 。 

一 般 企 事业 单位 发 生 紧 急 网 络 安全 事件 的 概 认 不 高 ,因此 ,考虑 成 本 等 因素 ,没有 必 
要 聘用 或 储备 网 络 安全 专业 技术 领域 高 级 人 才 。 当 出 现 突 发 应 急事 件 时 ,可 以 聘请 专业 
安全 服务 供应 商 的 人 员 参 与 处 理 , 尽 快 查 明 原 因 , 及 时 惩治 不 法 分 于 。 
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1. 简 述 传统 的 应 急 啊 应 技术 的 特点 。 

2. 向 述 现代 应 急 啊 应 技术 的 发 展 趋势 的 特点 。 

3. 网 络 安全 应 急 啊 应 的 管理 可 分 为 哪 6 个 阶段 ? 

4. 根据 信息 安全 事件 的 起 因 .表现 .结果 等 ,信息 安全 事件 可 分 为 哪 7 个 基本 类 型 ? 

5. 根据 我 国 网 络 安全 事件 的 分 类 分 级 标准 ,将 网 络 安 全 应 急 啊 应 分 成 哪 几 级 ? 

6. 向 述 企业 网 络 安全 应 急 啊 应 工作 的 主要 对 象 及 特点 。 

7. 为 建立 良好 的 网 络 安 全 应 急 保 障 体系 ,使 其 能 够 有 具 正 有 效 服务 于 网 络 安 全 保障 工 
作 , 应 该 重点 加 强 哪 几 方 面 的 能 力 ? 

8. 简 述 PDCEREF 模型 。 
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Fi 
”灾难 备份 


网 络 恶 意 攻 击 的 频 发 以 及 地 震 等 目 然 灾害 甚至 疏 怖 裘 击 对 企业 信息 系统 都 可 能 造成 
严重 的 破坏 。 因 此 ,企业 网 络 安全 运 介 工作 非常 重要 的 一 个 目的 耽 是 你 障 信息 系统 ,尤其 
(Business Continuity Management,BCM) 。 业 务 连 续 性 管理 是 一 项 综合 管理 流程 , 它 使 
企业 认识 到 浴 在 的 危机 和 相关 影响 ,制订 啊 应 .业务 和 连续 性 的 恢复 计划 ,其 总 体 目标 是 
提高 企业 的 风险 防范 能 力 ,以 有 效 地 啊 应 非 计 划 的 业务 破坏 并 降低 不 恨 影响 ,确保 企业 的 
主要 业务 操作 在 任何 时 候 都 能 够 持续 运转 。 

业务 连续 性 管理 的 实施 在 组 织 上 的 保证 至 关 重 要 ,对 各 方面 的 要 求 也 比较 高 。 在 国 
内 ,只 有 部 分 对 业务 持续 运行 非常 看 重 的 行业 ,例如 银行 等 金融 机 构 ,实施 得 地 比较 好 ,大 
部 分 企业 的 工作 重点 是 灾难 备份 和 恢复 。 灾 难 备份 是 实现 业务 连续 性 管理 的 基础 ,也 是 
必要 的 实现 条 件 。 灾 难 备份 容 称 灾 备 , 是 指 为 了 保障 关键 业务 和 应 用 在 经 历 各 种 灾难 后 
仍然 能 够 最 大 限度 地 提供 正 第 服务 所 进行 的 一 系列 系统 计划 及 建设 行为 ,其 目的 是 确 你 
关键 业务 持续 运行 以 及 减少 非 计 划 知 机 时 间 。 本 章 详细 介绍 灾 备 的 基本 知识 ,包括 灾 备 


71 灾 备 概述 


灾难 是 指 由 于 人 为 或 自然 的 原因 造成 信息 系统 运行 严重 故障 或 瘫痪 ,导致 信息 系统 
支持 的 业务 功能 停顿 或 服务 水 平 不 可 接受 的 突 发 性 事件 。 造 成 灾难 的 原因 有 很 多 ,最 党 
见 的 有 自然 灾难 、 人 为 灾难 及 技术 灾难 。 

典型 的 灾难 事件 是 自然 灾难 和 人 为 灾难 。 自 然 灾 难 包括 火灾 、 洪 水 、 地 震 、 由 风 、 龙 郑 
风 、 台 风 等 。 自 然 灾 难 所 产生 的 直接 后 果 就 是 本 地 数据 信息 难以 获取 或 保全 ,本 地 系统 难 
以 在 短 时 间 内 恢复 或 重建 ,灾难 对 信息 系统 的 影响 和 范围 难以 控制 。 人 为 灾难 发 生 概率 
大 , 且 表现 形式 多 种 多 样 , 可 直接 造成 重要 数据 信息 的 丢失 或 泄露 .系统 服务 功能 性 能 降 
低 乃 至 丧失 软件 系统 骨 溃 或 者 硬件 设备 损坏 。 技 术 灾 难 包括 设备 故障 (硬件 损坏 ,电力 
中 断 等 ) .设计 故障 ( 软 硬 件 设计 故障 等 )。 技 术 灾难 会 造成 信息 .数据 受 损 或 丢失 

由 于 各 种 灾难 或 突 发 事件 而 造成 的 业务 服务 中 断 ,以 及 不 能 及 时 恢复 系统 导致 的 企 
业 停 止 运营 或 丢失 数据 ,会 对 企业 的 服务 质量 、 声 誉 造成 严重 影响 ,因此 灾难 恢复 问题 成 
为 人 们 关注 的 焦点 。 为 了 灾难 恢复 而 利用 技术 .管理 手段 以 及 相关 资源 确保 关键 数据 、 关 
键 数据 处 理 系统 和 关键 业务 在 灾难 发 生 后 可 以 恢复 的 过 程 就 是 灾难 备份 . 


网 络 安全 运营 


7.1.1 灾 备 概念 


为 了 灾难 恢复 而 对 数据 .数据 处 理 系统 、 网 络 系统 .基础 设施 .技术 文 持 能 力 和 运行 管 
理 能 力 进行 备份 的 过 程 称 为 灾难 备份 。 灾 难 备 份 是 灾难 恢复 的 基础 ,是 围 线 灾难 恢复 所 
进行 的 各 类 备份 工作 。 灾 难 恢 复 包含 灾难 备份 ,但 它 更 注重 的 是 业务 的 恢复 。 

灾 备 可 以 大 幅 提高 业务 计算 机 系统 抵御 突 发 性 灾难 的 能 力 , 有 效 地 保护 重要 数据 ,使 
重要 业务 数据 可 以 在 设 定 的 时 间 内 恢复 ,从 而 实现 业务 的 连续 运行 ,进而 增强 客户 及 潜在 
客户 的 信心 ,让 企业 在 行业 苋 争 中 取得 优势 。 


7.1.2 灾 备 策略 
灾 备 策略 主要 分 为 备份 策略 和 恢复 策略 。 


1. 备份 策略 

备份 策略 包括 一 系列 规则 ,其 中 有 数据 备份 的 数据 类 型 .数据 备份 的 周期 以 及 数据 备 
份 的 存储 方式 。 制 定 备份 策略 目的 是 为 了 在 设备 发 生 故 障 或 发 生 其 他 威胁 数据 安全 的 灾 
害 时 保护 数据 ,将 数据 遭受 破坏 的 程度 减 到 最 小 。 有 效 的 备份 策略 应 当 可 以 区 分 很 少 变 
化 的 数据 和 经 党 变化 的 数据 ,并 且 对 后 者 的 备份 要 比 对 前 者 的 备份 更 频繁 。 目 前 被 采用 
得 最 多 的 备份 策略 主要 有 完全 备份 . 增 量 备份 和 差异 备份 3 种 。 

1) 完全 备份 

完全 备份 是 对 全 部 数据 执行 备份 操作 ,每 天 都 对 系统 进行 完全 备份 。 完 全 备份 可 以 
在 灾难 发 生 后 迅速 恢复 丢失 的 数据 ,但 对 整个 系统 进行 完全 备份 会 造成 大 量 数据 元 余 , 且 
由 于 需要 备份 的 数据 量 较 大 ,备份 所 需 的 时 间 也 就 较 长 。 

2) 增 量 备份 

增 量 备份 只 备份 上 一 次 备份 后 数据 的 改变 量 ,故而 可 以 大 大 减少 备份 数据 量 ,缩短 备 
份 时 间 。 但 当 发 生 灾 难 时 ,利用 增 量 备份 恢复 数据 比较 麻烦 ,也 降低 了 备份 的 可 靠 性 。 在 
这 种 备份 方式 下 ,各 备份 介质 间 的 关系 环 环 相连 ,其 中 任何 一 个 备份 介质 出 了 问题 ,都 会 
导致 整个 备份 链条 脱 季 。 

3) 差异 备份 

差异 备份 就 是 每 次 备份 的 数据 是 相对 于 上 一 次 完全 备份 之 后 新 增加 的 和 修改 过 的 数 
据 。 差 异 备份 筑 略 在 避免 以 上 两 种 策略 的 缺陷 的 同时 ,又 具有 它们 的 所 有 优点 。 首 先 , 差 
异 备份 无 须 每 天 都 做 系统 完全 备份 ,因此 备份 所 需 时 间 短 ,并 且 节 省 存储 空间 。 其 次 , 差 
异 备份 的 灾难 恢复 很 方便 ,系统 管理 员 只 需 两 盘 磁带 , 即 系统 上 一 次 完全 备份 的 磁带 与 发 
生 灾 难 前 一 天 的 备份 磁 市 ,就 可 以 将 系统 完全 恢复 。 


2. 恢复 策略 

恢复 案 略 可 以 帮助 企业 进行 灾难 恢复 , 取 回 原 抑 备份 的 文件 。 恢 复生 略 包括 3 个 方 
面 的 内 容 : 灾难 应 对 方案 .灾难 演习 制度 和 灾难 恢复 制度 。 

1) 灾难 应 对 方案 

灾难 应 对 方案 一 般 要 从 应 用 系统 和 恢复 站 点 两 个 方面 来 考虑 。 根 据 应 用 系统 的 数据 
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就 绪 级 别 和 恢复 站 点 级 别 的 不 同 , 灾 难 恢 复 策 略 被 划分 为 不 同 的 级 别 。 有 的 灾难 恢复 系 
统 不 考虑 数据 恢复 的 时 效 问 题 , 只 要 求 在 灾难 发 生 后 仍然 能 够 恢复 就 可 以 了 。 有 的 灾难 
恢复 系统 则 通过 很 高 的 数据 一 致 性 来 实现 即时 自动 恢复 。 

2) 灾难 演习 制度 

为 了 保证 灾难 恢复 的 可 徘 性 ,还 要 定期 进行 灾难 恢复 演习 。 这 既 有 助 于 相关 人 员 熟 
悉 灾 难 恢 复 的 操作 过 程 ,又 可 以 检验 灾 备 系统 所 生成 的 灾难 恢复 磁盘 和 备份 是 否 可 徘 。 

3) 灾难 恢复 制度 

准备 好 最 近 一 次 的 灾难 恢复 磁盘 和 磁带 ,根据 系统 提示 进行 恢复 ,就 可 将 系统 恢复 到 
备份 时 的 状态 。 


7.1.3 容 灾 技术 


容 灾 是 指 为 信息 系统 提供 的 一 个 能 应 付 各 种 灾难 的 环境 , 它 可 以 帮助 信息 系统 在 灾 
难 后 尽快 恢复 。 根 据 对 灾难 的 抵抗 程度 , 容 灾 技术 可 分 为 数据 容 灾 、 系 统 容 灾 和 应 用 容 
灾 。 数 据 容 灾 是 前 提 , 只 有 保证 数据 能 及 时 、 完 整地 复制 到 灾 备 中 心 , 才 能 在 灾难 发 生 时 
及 时 恢复 受灾 业务 。 系 统 容 灾 是 实现 灾难 恢复 的 基础 ,要 求 信息 系统 本 身 具 有 容 灾 抗 毁 
能 力 。 应 用 容 灾 是 使 信息 系统 保持 业务 连续 性 、 不 间断 服务 的 关键 。 


1. 数据 容 灾 

数据 容 灾 技术 主要 是 建立 一 个 异地 的 容 灾 中 心 ,该 中 心 是 本 地 关键 应 用 数据 的 一 个 
可 用 复制 .数据 同步 或 异步 复制 。 在 本 地 数据 及 整个 应 用 系统 出 现 灾难 时 ,系统 至 少 在 异 
地 保存 了 一 份 可 用 的 关键 业务 数据 。 该 数据 可 以 是 对 本 地 业务 数据 的 完全 实时 复制 ,也 
可 以 比 本 地 数据 略微 落后 ,但 一 定 是 可 用 的 。 

数据 容 灾 包括 数据 的 备份 和 恢复 。 数 据 备 份 是 最 基本 的 数据 保护 方法 ,是 企业 信息 
保护 体系 结构 的 核心 ,可 以 帮助 企业 进行 灾难 恢复 。 数 据 恢复 以 备份 为 基础 。 数 据 备 份 
的 方式 有 以 下 4 种。 

1) 传统 的 磁 市 备份 

传统 的 磁 市 备份 是 以 人 工 的 方式 将 数据 从 人 硬盘 复制 到 人 磁 市 上 ,并 将 磁 审 传送 到 安全 
的 地 方 。 这 种 方式 成 本 低 且 易于 实现 ,但 存在 很 大 的 安全 风险 ,恢复 的 时 间 长 。 

2) 磁 刘 库 备 份 

磁带 库 备 份 是 通过 网 络 将 数据 从 磁盘 复制 到 磁 囊 库 系 统 中 。 这 种 方式 的 恢复 时 间 较 
短 ,服务 可 标准 化 ,可 以 大 大 降低 人 工 方式 所 市 来 的 安全 风险 。 它 的 缺点 是 在 恢复 过 程 中 
引入 了 网 络 延 迟 , 依 顿 于 磁 市 提供 商 ,存储 的 数据 比较 难以 恢复 。 

3) 磁盘 阵列 

磁盘 阵列 是 将 多 个 类 型 .容量 .接口 甚至 品牌 一 致 的 专用 便 盘 或 普通 硬盘 连 成 一 个 阵 
列 ,使 其 能 以 某 种 快速 .准确 和 安全 的 方式 来 读 写 磁盘 数据 ,从 而 提高 数据 读 取 速度 和 安 
全 性 的 一 种 手段 。 磁 盘 阵 列 读 写 方式 的 基本 要 求 是 : 在 尽 可 能 提高 磁盘 数据 谈 写 速度 的 
前 提 下 ,必须 确保 在 一 个 或 多 个 磁盘 失效 时 ,磁盘 阵列 能 够 有 效 地 防止 数据 丢失 。 
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4) 磁盘 镜像 

磁盘 镜像 是 通过 广域网 将 写 人 生产 系统 磁盘 或 者 磁盘 阵列 的 数据 同时 写 到 异地 的 备 
份 磁 盘 或 者 磁盘 阵列 中 。 磁 盘 镜 像 ,尤其 是 远程 磁盘 镜像 深 受 欢迎 ,主要 是 由 于 磁盘 镜像 
的 数据 恢复 时 间 很 短 ,可 以 保证 业务 系统 的 连续 可 用 。 但 磁盘 镜像 在 人 硬件 上 的 投资 较 大 ， 
要 求 两 点 间 的 网 络 带宽 较 大 的 。 


2. 系统 容 灾 

系统 容 灾 技 术 可 保护 业务 数据 ,系统 数据 ,保证 网 络 通信 系统 的 可 用 性 ,避免 计划 外 
停机 。 系 统 容 灾 技术 包括 宛 余 技术 .集群 技术 、 网 络 恢复 技术 等 。 完 余 技术 主要 对 磁盘 系 
统 (RAID) 电源 系统 和 网 络 进行 备份 ,在 系统 的 主 部 件 发 生 故 障 时 , 宛 余 部 件 能 代替 主 
部 件 继续 工作 ,避免 系统 停机 。 集 群 技术 可 以 利用 分 散 的 主机 保证 操作 系统 的 高 可 用 性 。 
网 络 恢复 技术 可 以 在 交换 机 网 络 层 实现 动态 网 络 路 由 重 选 ,在 不 中 断 用 户 操作 的 情况 下 
转 和 人 灾 备 中 心 。 

3. 应 用 容 灾 

应 用 容 灾 技 术 是 在 数据 容 灾 技术 的 基础 上 ,异地 建立 一 套 与 本 地 生产 系统 相当 的 完 
整 的 备份 应 用 系统 (可 以 是 两 者 互 为 备份 ) 。 完 整 的 应 用 容 灾 既 要 包含 本 地 系统 的 安全 机 
制 . 远 程 的 数据 复制 机 制 , 还 要 具有 广域网 范围 的 远程 故障 切换 能 力 和 故障 诊断 能 力 。 一 
旦 故障 发 生 , 系 统 要 有 强大 的 故障 诊断 和 切换 策略 机 制 ,确保 快速 的 反应 和 迅速 的 业务 接 
管 ,从 而 保护 整个 业务 流程 。 建 立 这 样 一 个 系统 是 比较 复杂 的 ,不 仅 需要 一 份 可 用 的 数据 
副本 ,还 需要 网 络 .主机 应 用 甚至 IP 地 址 等 资源 以 及 各 资源 之 间 的 良好 协调 。 

应 用 容 灾 的 实现 技术 要 求 高 ,通过 负载 均衡 应 用 集中 和 隔离 、 自 动 化 监控 等 手段 实 
现 业务 应 用 的 连续 性 和 高 可 用 性 。 使 用 负载 均衡 技术 不 但 可 以 保障 业务 负载 不 过 于 集 
中 ,还 能 实现 故障 的 隔离 与 计划 内 停机 维护 。 应 用 集中 和 隔离 技术 可 以 方便 用 户 对 IT 
系统 进行 管理 ,减少 出 现 故 障 的 可 能 性 ,同时 ,在 部 分 应 用 发 生 故 障 时 ,可 通过 应 用 隔离 减 
小 故障 带 来 的 影响 。 自 动 化 监控 手段 可 以 有 效 减少 人 工 操作 错误 带 来 的 故障 ,同时 也 能 
及 时 、 有 效 地 发 现 故障 。 


7.1.4 容 灾 指标 


由 于 信息 系统 灾难 涉及 信息 系统 运行 的 诸多 方面 ,因此 , 容 灾 抗 毁 能 力 已 经 成 为 信息 
系统 安全 性 和 可 徘 性 的 重要 保障 。 其 具体 包括 4 个 指标 。 

(1) 恢复 点 目标 (Recovery Point Objective,RPO) 指 出 现 灾 难 之 时 到 可 以 让 业务 继 
续 运 作 的 时 间 。 如 果 RPO=0, 相 当 于 没有 任何 数据 丢失 ;否则 ,就 需要 进行 业务 恢复 处 

(2) 恢复 时 间 目 标 (Recovery Time Objective,RTO) 指 从 IT 系统 宕 机 导致 业务 停顿 
开始 ,到 IT 系统 恢复 至 可 以 支持 各 部 门 运作 ,使 业务 恢复 运 冶 的 时 间 。 在 这 个 时 间 泡 围 
内 ,生产 中 心 必须 恢复 生产 ,否则 会 造成 无 法 容 妨 的 损失 ， 

(3) 降级 操作 目标 (Degraded Operations Objective,DOO) 指 宕 机 恢复 以 后 到 第 二 次 
故障 或 灾难 发 生 的 时 间 。 
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(4) 网 络 恢复 目标 (Network Recovery Objective, NRO) 指 用 户 在 灾难 发 生 后 连接 到 
灾 备 中 心 的 时 间 。 


7 2 容 灾 规划 


容 灾 规划 是 根据 企业 本 号 的 业务 特征 、 拉 术 能 力 `. 财 力 、 信 息 技术 环境 和 对 信息 扩 术 
的 依赖 程度 制定 的 一 套 应 对 信息 系统 灾难 的 指 施 ,其 目的 是 减少 灾难 对 信息 系统 的 关键 
业务 流程 造成 的 影响 。 


7.2.1 容 灾 规划 概述 


容 灾 规划 包含 了 一 系列 灾难 发 生前 、 过 程 中 和 灾难 结束 后 所 灯 取 的 动作 。 容 灾 规 划 
包括 一 系列 应 急 计划 。 


1. 服务 持续 计划 

服务 持续 计划 (Business Continuity Plan,BCP) 是 为 了 防止 正常 业务 行为 中 断 而 建 
芯 的 计划 。 当 面 对 由 于 目 然 或 人 为 灾难 以 及 由 此 造成 的 财产 损失 和 正 第 业务 中 断 时 ， 
BCP 可 以 保护 关键 业务 步 台 。BCP 的 目标 是 最 小 化 业务 中 断 事件 对 公司 造成 的 影 啊 , 降 
低 财 产 损失 风险 ,增强 公司 对 于 意外 事件 造成 的 业务 中 断 的 恢复 能 力 。 


2. 服务 恢复 计划 

服务 恢复 计划 (Business Recovery Plan,BRP) 用 于 在 紧急 事件 后 对 业务 的 恢复 。 与 
BCP 不 同 的 是 ,BRP 在 整个 紧急 事件 或 中 汤 过 程 中 缺乏 确保 关键 业务 连续 性 的 规程 。 
BRP 的 制定 应 该 与 灾难 恢复 计划 及 BCP 进行 协调 。BRP 应 该 附加 在 BCP 之 后 。 

3. 运行 连续 性 计划 

运行 连续 性 计划 (Continuity of Operations Plan,COOP) 关 注 位 于 机 构 ( 通 稼 是 总 
部 ) 备 用 站 点 的 关键 功能 以 及 这 些 功 能 在 恢复 到 正常 操作 状态 之 前 最 多 30 天 的 运行 。 

4. 事故 啊 应 计划 

事故 啊 应 计划 (Incident Response Plan,IRP) 建 立 针 对 机 构 的 IT 系统 攻击 的 啊 应 规 
程 。 这 些 规程 用 来 协助 安全 人 员 对 有 害 的 计算 机 事故 进行 识别 .消减 并 对 系统 进行 恢复 。 

5. 场所 紧急 计划 

场所 紧急 计划 (Occupant Emergency Plan,OEP) 在 可 能 对 人 员 的 安全 健康 ,环境 或 
财产 构成 威胁 的 事件 发 生 时 为 设施 中 的 人 员 提 供 反 应 规程 。 在 设施 级 别 制订 OEP 时 与 
特定 的 地 理 位 置 和 建筑 结构 有 关 。 

6. 危机 通信 计划 

机 构 应 该 在 灾难 之 前 做 好 其 内 部 和 外 部 通信 规程 的 准备 工作 。 乞 机 通信 计划 (Crisis 
Communication Plan,CCP) 通 篆 由 负责 公共 联络 的 机 构 制 定 。 和 危机 通信 计划 规程 应 该 和 
所 有 其 他 计划 协调 以 确保 只 有 受到 批准 的 内 容 作 为 附录 包含 在 BCP 中 。 
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网 络 安全 运营 


7. 灾难 恢复 计划 

灾难 恢复 计划 (Disaster Recovery Plan,DRP) 包 括 在 事前 、. 事 中 和 灾难 对 信息 系统 资 
源 造成 重大 损失 后 所 采取 的 行动 。 灾 难 恢复 计划 是 对 于 紧急 事件 的 应 对 过 程 。 在 业务 中 
断 的 情况 下 提供 后 备 的 操作 ,在 事后 进行 恢复 和 抢救 工作 。DRP 应 用 于 重大 的 、 通 第 是 
灾难 性 的 、 造 成 长 时 间 无 法 对 正常 设施 进行 访问 的 事件 。DRP 能 够 在 另外 的 站 点 提供 关 
键 步骤 ,并 且 在 一 个 时 间 段 内 恢复 主 站 的 正 币 运行 ,通过 迅速 的 惰 复 步 又 来 最 小 化 企业 的 

灾 备 规划 的 目的 是 确保 关键 业务 持续 运行 以 及 减少 非 计划 宪 机 时 间 。 所 有 与 灾 备 广 
案 相 关 的 计划 都 应 在 灾 备 方 条 本 里、 宕 机 时 间 和 实施 灾 备 方 条 所 需 成 本 三 者 之 间 找 到 一 
个 平衡 点 ， 


7.2.2 容 灾 方案 级 别 


容 灾 方案 可 供 选 择 的 范围 很 大 ,但 所 有 的 容 灾 方 案 都 必须 考虑 的 因素 包括 恢复 时 间 、 
实施 与 维护 容 灾 策略 所 需 的 投入 等 。 容 灾 方 案 的 制定 依据 分 为 3 个 层次 : 第 一 层次 为 国 
际 标准 ,以 SHARE78 最 具有 代表 性 ;第 二 层次 为 国家 标准 ,如 国务 院 信息 化 工作 办 公 室 
颁布 的 GB/T 20988 一 200 人 信息 系统 灾难 恢复 规范 》; 第 三 层次 就 是 行业 的 法 规 。 

国际 标准 SHARE78 将 灾难 恢复 分 成 7 个 层次 。 从 存储 结构 角度 ,SHARE78 涵 兰 
了 本 地 磁盘 备份 .异地 存储 备份 .实时 切换 的 异地 备份 系统 。 从 恢复 时 间 角 度 ， 
SHARE78 涵盖 了 几 天 、 几 小 时 、 几 分 钟 、. 几 秒 , 即 去 数据 丢失 。IBM 公司 的 《 容 灾 日 皮 书 》 


根据 这 7 个 层次 定义 了 8 个 级 别 (0 一 7 级 ) 的 容 灾 方案 。 
1.0 级 : 无 异地 备份 数据 (no off-site data) 
对 于 使 用 0 级 灾难 恢复 解决 方案 的 业务 ,可 称 其 为 没有 灾难 恢复 计划 ,如 图 7-1 所 


示 ,主要 表现 为 以 下 两 个 方面 : 

(1) 数据 仅 在 本 地 进行 备份 恢复 ,没有 任何 数据 信息 和 资料 被 送 往 异 地 ,没有 处 理 意 
外 事故 的 计划 。 

(2) 在 此 种 情况 下 , 惰 复 时 间 不 可 预测 ,事实 上 也 不 可 能 恢复 。 


图 7-1 0 级 灾难 恢复 解决 方案 


2. 1 级 : 有 数据 备份 ,无 备用 系统 (data backup with no hot site ) 
使 用 1 级 灾难 恢复 解决 方案 的 业务 通 稼 将 需要 的 数据 备份 到 磁 市 上 ,然后 将 这 些 介 
质 运 送 到 其 他 较为 安全 的 地 方 ,但 在 那里 缺乏 能 恢复 数据 的 系统 。 若 数据 备份 的 频率 很 
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高 , 则 在 恢复 时 丢失 的 数据 就 会 少 些 。1 级 灾难 恢复 解决 方案 如 图 7-2 所 示 。 此 类 业务 
应 允许 几 天 万 至 几 星 期 的 效 据 丢失 。 
数据 中 心 


eg 


3. 2 级 : 有 数据 备份 ,有 备用 系统 (data backup with hot Site) 

使 用 2 级 灾难 恢复 解决 方案 的 业务 会 定期 将 数据 备份 到 磁 审 上 ,并 将 其 运 到 安全 的 
地 点 。 在 备份 中 心 有 备 用 的 系统 , 当 灾 难 发 生 时 ,可 以 使 用 这 些 数据 备份 磁带 来 恢复 系 
统 。 虽 然 还 需要 数 小 时 或 儿 天 的 时 间 来 恢复 数据 以 使 业务 可 用 ,但 不 可 预测 的 恢复 时 间 
减少 了 。 

2 级 灾难 恢复 解决 方案 如 图 7-3 所 示 。2 级 解决 方案 相当 于 在 1 级 解决 方案 上 增加 
了 备份 中 心 的 灾难 恢复 。 备 份 中 心 拥有 足够 的 便 件 和 网 络 设备 来 维持 关键 应 用 的 安 猴 需 
求 , 这 样 的 应 用 是 十 分 关键 的 , 它 必 须 在 灾难 发 生 的 同时 在 异地 有 正在 运行 的 便 件 提供 文 
持 。 这 种 灾难 恢复 方式 依赖 于 PTAM(Pickup Truck Access Method ,卡车 运送 访问 方 
法 ) 将 日 凋 数 据 放 人 仓库 , 当 灾 难 发 生 的 时 候 , 再 将 数据 恢复 到 备份 中 心 的 系统 上 上。 虽然 
备份 中 心 的 系统 增加 了 成 本 ,但 明显 缩短 了 灾难 恢复 时 间 ,系统 可 在 几 天 内 得 以 恢复 。 


加 数据 中 心 B 
数据 中 心 A (备用 系统 ) 


图 7-3 2 级 灾难 恢复 解决 方案 


4.3 级 : 电子 链接 (electronic vaulting) 

使 用 3 级 解决 方案 的 业务 是 在 2 级 解决 方案 的 基础 上 又 使 用 了 对 关键 数据 的 电子 链 
接 技术 。3 级 灾难 恢复 解决 方案 如 图 7-4 所 示 , 通 过 电子 链接 对 磁带 备份 后 更 改 的 数据 
进行 记录 ,并 传 到 备份 中 心 ,使 用 这 种 方法 会 比 使 用 传统 的 磁 刘 备份 更 快 地 得 到 更 新 的 数 
据 。 所 以 , 当 灾 难 发 生 后 ,只 有 少量 的 数据 需要 重新 恢复 ,恢复 时 间 进 一 步 缩短 。 

由 于 备份 中 心 要 保持 持续 运行 ,与 生产 中 心间 的 通信 线路 要 保障 畅通 ,增加 了 运营 成 
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本 。 但 这 消除 了 对 运输 工具 的 依赖 ,提高 了 灾难 恢复 速度 。 大 机 构 使 用 的 灾难 恢复 方案 
基本 在 3 级 及 以 上 。 


数据 中 心 A (备用 系统 ) 
电子 链接 
EE 离线 存储 二线 
~ SO 
日 常备 从 灸 复 时 


图 7-4 3 级 灾难 恢复 解决 方案 


5.4 级 : 使 用 快照 技术 复制 数据 (point-in-time copies ) 

使 用 4 级 恢复 方案 的 业务 对 数据 的 实时 性 和 快速 恢复 性 要 求 更 局 。1 一 3 级 的 方案 
中 主要 使 用 磁带 备份 和 传输 ,在 4 级 方案 中 开始 使 用 基于 磁盘 的 解决 方案 。 此 时 仍然 会 
出 现 几 个 小 时 的 数据 丢失 ,但 同 基于 磁 市 的 解决 方案 相 比 ,通过 加 快 备份 频率 ,使 用 最 近 
时 间 点 的 快照 恢复 数据 速度 更 快 ,系统 可 在 一 天 内 恢复 。 

4 级 灾难 恢复 解决 方案 程 如 图 7-5 所 示 。4 级 方案 可 以 有 两 个 数据 中 心 同 时 处 于 活 
动 状 态 并 管理 彼此 的 备份 数据 ,允许 备份 活动 在 任何 一 个 方 回 发 生 。 接 收 方 硬 件 必 须 保 
证 与 另 一 方 平 台 在 地 理 上 分 离 ,在 这 种 情况 下 ,工作 负载 可 能 在 两 个 中 心 之 间 分 配 ,数据 
中 心 A 成 为 数据 中 心 B 的 备份 ,反之 亦 然 。 在 两 个 数据 中 心 之 间 ,彼此 的 在 线 关 键 数据 
的 副本 不 停 地 相互 传送 着 。 在 灾难 发 生 时 ,需要 的 关键 数据 通过 网 络 可 迅速 恢复 ,通过 网 
络 的 切换 ,关键 应 用 的 恢复 也 可 降低 到 小 时 级 。 


帘 带 连 报 数据 中 心  B 
Ce (备用 系统 ) 


dy 恢复 时 Te 


图 7-5 4 级 灾难 恢复 解决 方案 


6.5 级 : 交易 的 完整 性 (transaction integrity ) 

使 用 5 级 灾难 恢复 解决 方案 的 业务 要 求 保 证 生产 中 心 和 数据 备份 中 心 数据 的 一 致 
性 。 在 5 级 方案 中 只 人 允许 少量 数据 丢失 甚至 是 无 数据 丢失 ,但 是 该 功能 的 实现 完全 依赖 
于 所 运行 的 应 用 。 
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ou 第 7 革 灾难 备份 


如 图 7-6 所 示 ,5 级 方案 除了 使 用 4 级 方案 的 技术 外 ,还 要 维护 数据 的 状态 ,要 你 证 在 
本 地 和 远 病 数据库 中 都 更 新 数据 。 只 有 当 两 地 的 数据 都 更 新 完成 后 , 才 认 为 此 次 事务 成 
功 。 生 产 中 心 和 备份 中 心 是 由 局 速 的 宽 市 连接 的 ,关键 数据 和 应 用 同时 运行 在 两 个 地 点 。 
当 灾 难 发 生 时 ,只 有 正在 进行 的 事务 数据 会 丢失 。 由 于 恢复 效 据 量 的 减少 ,恢复 时 间 也 大 
大 缩短 。 


el 数据 中 心 B 
仅 据 中 心 A (备用 系统 ) 


图 7-6 5 级 灾难 恢复 解决 方案 


7.6 级 : 无 数据 丢失 或 少量 数据 丢失 (zero or little data loss) 

6 级 灾难 恢复 解决 方案 可 以 保障 最 高 一 级 数据 的 实时 性 。 适 用 于 那些 几乎 不 允许 数 
据 丢 失 并 要 求 能 快速 将 数据 恢复 到 应 用 中 的 业务 。 这 种 解决 方案 提供 数据 的 一 致 性 ,不 
依赖 于 应 用 ,而 是 徘 大 量 的 价 件 拉 术 和 操作 系统 软件 来 实现 的 。 这 一 级 别 的 要 求 很 高 ,一 
般 需 要 整个 系统 应 用 程序 层 到 便 件 层 均 采取 相应 措施 。 

(1) 应 用 程序 层 采 用 基于 事务 的 方法 开发 。 

(2) 数据 库 可 以 采取 数据 复制 ，IBM-DB2-HADR、IBM-Informix-HDR 、Oracle- 
Oracle-Dataguard 等 。 

(3) 操作 系统 使 用 集群 软件 .站 点 迁移 软件 和 数据 复制 软件 。 

(4) 硬件 层 使 用 同步 的 数据 复制 : IBM-ESS-PPRC、IBM-DS4000-RM、EMC-SRDF: 
或 使 用 市 有 Consistancy-Group 功能 的 异步 数据 复制: IBM-ESS-PPRC、IBM- 
DS4000-RM., 


8.7 级 : 高 度 自动 的 商业 集成 解决 方案 (highly automated,business 
integrated solution) 

7 级 灾难 恢复 解决 方案 在 6 级 方案 的 基础 上 集成 了 目 主 管理 的 功能 ,如 图 7-7 所 示 。 
7 级 方案 在 保障 数据 一 致 性 的 同时 ,又 增加 了 应 用 的 目 动 恢复 能 力 , 使 得 系统 和 应 用 恢复 
的 速度 更 快 .更 可 菲 ( 按 照 灾 难 恢复 流程 ,手工 操作 也 可 实现 整个 恢复 过 程 )。 

7 级 可 以 实现 地 数据 丢失 率 ,同时 保证 数据 立即 目 动 地 被 传输 到 恢复 中 心 。7 级 方案 
被 认为 是 灾难 恢复 的 最 高 级 别 ,在 本 地 和 远程 的 所 有 数据 被 更 新 的 同时 ,利用 了 双重 在 线 
存储 和 完全 的 网 络 切换 。7 级 是 灾难 恢复 中 最 昂贵 的 方式 ,但 也 是 速度 最 快 的 方式 。 当 
一 个 数据 中 心 发 生 灾难 时 ,7 级 能 够 提供 一 定 程度 的 器 站 点 动态 负载 平衡 和 日 动 系统 故 
障 切 换 功 能 。 现 在 已 经 证 明 , 为 实现 有 效 的 灾难 恢复 ,无 须 人 工 介 入 的 日 动 站 点 故障 切换 
功能 必须 被 纳入 考虑 范围 。 


人 | 
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数据 共享 
图 7-7 7 级 灾难 恢复 解决 方案 


7 3 容 灾 标准 


国家 对 信息 系统 灾 备 建设 高 度 重 视 , 在 政策 支持 方面 逐渐 加 大 力度 ,颁布 了 一 系列 灾 
备 行业 相关 的 法 律 和 法 规 ,建立 了 适合 我 国信 息 化 系统 的 灾 备 标准 体系 ,为 国家 信息 化 奸 
设 提供 了 信息 安全 保障 。 


7.3.1 国家 标准 


2003 年 ,中 共 中 央 办 公 厅 颁布 的 (国家 信息 化 领导 小 组 关于 加 强 信 息 安 全 保障 工作 
的 意见 》 中 首次 提 到 灾 备 的 概念 ,提出 基础 网 络 和 重要 信息 系统 的 建设 要 充分 考虑 抗 毁 性 
和 灾难 恢复 ,制定 和 不 断 完 善信 息 安 全 应 急 处 置 预案 。 

2004 年 ,国务院 信息 化 工作 办 公 室 发 布 的 4 关于 做 好 重要 信息 系统 灾难 备份 工作 的 
通知 ) 提 出 需要 提高 抵御 灾难 和 重大 事故 的 能 力 ,确保 重要 信息 系统 的 数据 安全 和 作业 连 

2005 年 ,国务 院 信 息 化 工作 办 公 室 发 布 的 (关于 印发 (重要 信息 系统 灾难 恢复 指南 》 
的 通知 ) 指 明了 灾难 恢复 工作 的 流程 ,等 级 划分 和 预案 的 制订 框架 。 

2007 年 ,国务 院 信 息 化 工作 办 公 室 颁布 的 GB/T 20988 一 2007《 信 息 系 统 灾难 恢复 规 
范 )? 规 定 了 灾难 恢复 工作 的 流程 .灾难 恢复 等 级 以 及 灾难 恢复 方案 设计 、 预 案 .演练 等 杠 
架 。 该 标准 是 灾 备 行业 目前 唯一 的 国家 标准 ,对 国内 重点 行业 及 相关 行业 的 灾难 备份 与 
恢复 工作 的 开展 与 实施 有 积极 指导 意义 。 

2013 年 ,全 国信 息 安全 标准 化 技术 委员 会 颁布 的 《灾难 恢复 中 心 建设 与 运 维 管 理 规 
汇 )》 定 义 了 灾 鱼 中 心 建设 的 全 生命 周期 ,规定 了 灾 备 中 心 的 运 维 工作 内 容 等 。 

7.3.2 行业 标准 

在 国家 积极 制定 灾难 备份 国家 标准 的 同时 ,灾难 备份 相关 重点 行业 (尤其 是 银行 、 电 
力 铁路、 民航 证券, 保险 海关、 税务 八大 行业 ) 也 纷纷 加 快 了 对 信息 系统 灾难 备份 行业 
标准 的 制定 。 其 中 ,银行 业 、 证 券 业 和 保险 业 在 灾 备 相关 标准 制定 过 程 中 进展 较为 迅速 。 
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1. 银行 业 相 关 法 规 条 款 

《商业 银行 操作 风险 管理 指引 》 第 十 九条 中 规定 :“ 商 业 银 行 应 当 制 定 与 其 业务 规模 
和 复杂 性 相 适 应 的 应 急 和 业务 连续 方案 ,建立 恢复 服务 和 你 证 业务 连续 运行 的 备用 机 制 ， 
并 应 当 定 期 检查 、 测 试 其 灾难 恢复 和 业务 连 经 机制 ,确保 在 出 现 灾难 和 业务 严重 中 汤 时 这 
些 方案 和 机 制 的 正常 执行 ”此 规定 涉及 了 与 业务 连续 和 灾难 恢复 相关 的 内 容 , 明 确 了 银 
行业 应 制定 适当 的 业务 连续 性 规划 。 

《银行 业 金 融 机 构 信息 系统 风险 管理 指引 ) 第 二 十 九条 中 规定 :“ 银 行业 金融 机 构 应 
制定 信息 系统 应 急 预 案 , 并 定期 演练 ,评审 和 修订 。 省 域 以 下 数据 中 心 至 少 实现 数据 备份 
异地 保存 ,省 域 数据 中 心 至 少 实现 寞 地 数据 实时 备份 ,全 国 性 数据 中 心 实 现 异 地 灾 备 .” 此 
规定 明确 了 银行 业 金 融 机 构 的 数据 备份 要 求 。 


2. 证 券 业 相关 法 规 条 于 

《证 券 期 贫 业 信息 系统 安全 等 级 保护 基本 要 求 》 对 应 用 安全 和 数据 安全 方面 的 灾 备 提 
出 了 明确 的 要 求 。《 证 券 公 司 集中 交易 安全 管理 技术 指引 明确 了 灾难 备份 BCP( 业 务 连 
续 性 计划 ) 的 3 个 具体 指标 ,提出 :“RPO( 恢 复 点 目标 )、RTO( 恢 复 时 间 目 标 );、DOO( 运 
行 性 能 降低 预期 ) 是 衡量 灾难 恢复 性 能 好 坏 的 关键 指标 ,应 分 别 达 到 : RPO 二 16min， 
RTO 二 1h,DOO 二 50%。 人 《证券 公 司 集中 交易 安全 管理 技术 指引 》 第 四 十 七 条 规定 :“ 应 
定期 组 织 灾难 备份 应 急 预 案 和 应 急 计 划 的 演练 ,至 少 每 年 两 次 ,并 根据 演练 的 结果 和 发 现 
的 问题 进行 上 总结, 对 系统 和 应 急 方 条 进行 优化 及 完善 。 明确 了 灾难 备份 预案 演练 周期 。 


3. 保险 业 相 关 法 规 条 款 

保险 监督 管理 委员 会 下 发 的 (关于 做 好 重要 信息 系统 灾难 备份 工作 的 通知 ) 要 求 保险 
企业 需要 确定 本 单位 的 灾难 恢复 目标 和 建设 模式 ,制订 完善 的 灾难 恢复 计划 。 保 险 监 督 
管理 委员 会 发 布 『《 你 险 业 信息 系统 灾难 恢复 管理 指引 》, 对 保险 机 构 信 息 系统 灾 备 建设 
进度 和 灾难 恢复 能 力 提 出 了 明确 要 求 :“ 保 险 机 构 应 统 敌 规划 信息 系统 灾难 恢复 工作 ,日 
本 指引 生效 起 五 年 内 至 少 达 到 本 指引 规定 的 最 低 灾难 恢复 能 力 等 级 要 求 。” 


74 思考 题 


. 简 述 灾难 与 灾 备 的 定义 。 

. 简 述 备份 宋 略 和 恢复 策略 。 

. 容 灾 指标 有 哪些 ? 

. 请 说 出 3 个 容 灾 的 应 急 计划 。 

.“ 有 效 据 备份 ,有 备用 系统 "十 哪 一 级 容 灾 方案 ? 简要 分 析 它 的 实现 。 
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附录 A 
英文 缩 咯 语 


ADN Application Delivery Networking 应 用 交付 网 络 

APT Advanced Persistent Threat 高 级 持续 性 威胁 

BCM Business Continuity Management 业务 连续 性 管理 

BCP Business Continuity Plan 服务 持续 计划 

BGP Border Gateway Protocol 边界 网 关 协 议 

BRP Business Recovery Plan 服务 恢复 计划 

B/S Browser/Server 浏览 器 /服务 器 

CCP Crisis Communication Plan 危机 通信 计划 

CDN Content Delivery Network 内容 分 发 网 络 

COOP Continuity of Operations Plan 运行 连续 性 计划 

CSRF Cross-site Request Forgery ”路 站 请 求 伪 造 

CSS Cascading Style Sheets 层 羞 样式 表 

DDoS Distributed Denial of Service 分 布 式 拒绝 服务 

DFRWS Digital Forensic Research Workshop 数字 取证 人 研究 工作 组 
DM Data Mining 数据 挖掘 

DMZ Demilitarized Zone 非 军事 化 区 域 

DOO Degraded Operations Objective 降级 操作 目标 

DoS Denial of Service 拒绝 服务 

DRP Disaster Recovery Plan 灾难 恢复 计划 

EBP Extended Base Pointer 扩展 基 址 指针 (寄存 器 ) 

ESMTP Extended Simple Mail Transfer Protocol 扩展 简单 邮件 传送 协议 
ESP Extended Stack Pointer 扩展 栈 指针 (寄存 需 ) 

HMM Hidden Markov Model 隐 马 尔 可 夫 模 型 

IDS Intrusion Detection System 人 人 侵 检测 系统 

IMAP Internet Mail Access Protocol 互联 网 邮件 访问 协议 

IPS Intrusion Prevention System 人 侵 防 御 系 统 

IRP Incident Response Plan 事故 啊 应 计划 

NAS Network Attached Storage 了 网络 附属 存储 

NRO Network Recovery Objective 网 络 恢复 日 标 

NSSA Network Security Situation Awareness 网 络 安全 态势 感知 


附录 A 美文 缩 略语 


OEP Occupant Emergency Plan 场所 紧急 计划 

OFTP Off-Line Transaction Processing 脱 机 事务 处 理 
OLAP On-Line Analytical Processing 联机 分 析 人 处 理 
OLTP On-Line Transaction Processing 联机 事务 处 理 
POP3 Post Office Protocol Version 3 邮局 协议 第 3 版 
QoS Quality of Service 服务 质量 

RPO Recovery Point Objective ”恢复 点 目标 

RTO Recovery Time Objective 恢复 时 间 日 标 

SA Situation Awareness 态势 感知 

SAN Storage Area Networking 存储 区 域 网络 

SMTP Simple Mail Transfer Protocol 人 简单 邮件 传送 协议 
SOC Security Operations Center 安全 运 管 中 心 

SSL ”Secure Socket Layer 安全套 接 层 

USAF United States Air Force 美国 空 2 

VPN Virtual Private Network 虚拟 专用 网 

WAF Web Application Firewall Web 应 用 防火 墙 
XSS Cross-Site Scripting 器 站 脚本 
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